CN104486353B - 一种基于流量的安全事件检测方法及装置 - Google Patents

一种基于流量的安全事件检测方法及装置 Download PDF

Info

Publication number
CN104486353B
CN104486353B CN201410835119.0A CN201410835119A CN104486353B CN 104486353 B CN104486353 B CN 104486353B CN 201410835119 A CN201410835119 A CN 201410835119A CN 104486353 B CN104486353 B CN 104486353B
Authority
CN
China
Prior art keywords
time point
irrelevance
total value
point
peels
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410835119.0A
Other languages
English (en)
Other versions
CN104486353A (zh
Inventor
张俊锋
刘嘉奇
夏兰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201410835119.0A priority Critical patent/CN104486353B/zh
Publication of CN104486353A publication Critical patent/CN104486353A/zh
Application granted granted Critical
Publication of CN104486353B publication Critical patent/CN104486353B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于流量的安全事件检测方法及装置,方法为,根据历史数据,获取待检测时间段内每一个时间点对应的预测流量总值;将每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比较,获取离群点集合;对离群点集合中的所有离群点进行筛选,将误判定离群点由该离群点集合中剔除。采用本发明技术方案,对WAF设备首次检测得到的离群点集合再次进行修正,将误判定离群点进行剔除,从而降低了WAF设备在安全事件检测过程中的误判率,避免了WAF设备由于误判断而进入比较严格的深度防护状态时其他设备无法请求网站中指定服务,使其他设备能够正常请求网站中的指定服务,有效提高了系统性能。

Description

一种基于流量的安全事件检测方法及装置
技术领域
本发明涉及网络安全领域,尤其涉及一种基于流量的安全事件检测方法及装置。
背景技术
WAF(Web Application Firewall;Web应用防火墙)设备是为web服务器提供安全防护服务的设备,该WAF设备能够为web服务器制定相应的安全策略,统计web服务器中发生的事件(包括流量和安全攻击等数据),以及控制对web服务器的应用访问。
在WAF设备中,安全事件检测是从大量事件中发现安全事件的过程。安全事件检测有着广泛的应用,例如,获取电子商务中的欺诈行为信息、获取金融领域信用卡恶意透支信息、以及获取网络安全中的恶意攻击行为信息等。
目前,在WAF设备中,安全事件检测主要通过WAF设备对已发生事件构成的历史数据的自学习实现,即WAF设备基于历史流量和安全攻击等数据进行推断,进而得出安全事件和非安全事件,当判定当前时刻为非安全状态时,WAF设备随即进入比较严格的深度防护状态,从而对web服务器提供的某些指定应用进行保护,即WAF设备拒绝其他设备请求访问该指定应用。
由此可见,当检测设备针对需要防护的web服务器定期执行扫描漏洞检测操作时,WAF设备根据历史数据判断web服务器对应的状态是否为安全状态,由于在不同应用场景下,根据历史数据进行安全事件检测时得到的检测结果准确性较低,因此,采用上述技术方案,将存在WAF设备误判断的情况,从而导致web服务器应用访问受限的问题。
综上所述,目前在进行安全事件检测时,存在WAF设备误判率高的问题。
发明内容
本发明实施例提供一种基于流量的安全事件检测方法及装置,用以解决目前在进行安全事件检测时,存在WAF设备误判率高的问题。
本发明实施例提供的具体技术方案如下:
一种基于流量的安全事件检测方法,包括:
从本地提取历史数据;其中,所述历史数据包括时间点,所述时间点对应的安全事件值,以及所述时间点对应的流量总值;
根据所述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值;
针对所述待检测时间段内的每一个时间点,根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度;
从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合;
根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值,对所述离群点集合进行筛选,获取所述离群点集合中的误判定离群点,确定所述误判定离群点为安全事件对应的点。
一种基于流量的安全事件检测装置,包括:
提取单元,用于从本地提取历史数据;其中,所述历史数据包括时间点,所述时间点对应的安全事件值,以及所述时间点对应的流量总值;
预测单元,用于根据所述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值;
获取单元,用于针对所述待检测时间段内的每一个时间点,根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度;
生成单元,用于从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合;
确定单元,根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值,对所述离群点集合进行筛选,获取所述离群点集合中的误判定离群点,确定所述误判定离群点为安全事件对应的点。
本发明实施例中,根据历史数据,获取待检测时间段内每一个时间点对应的预测流量总值;将每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比较,获取离群点集合;对离群点集合中的所有离群点进行筛选,将误判定离群点由该离群点集合中剔除。采用本发明技术方案,对根据历史数据,对待检测时间段内的每一个时间点及其对应的实际流量总值进行判定后得到的离群点集合再次进行修正,获取误判定离群点,从而降低了WAF设备在安全事件检测过程中的误判率,避免了WAF设备由于误判断而进入比较严格的深度防护状态时其他设备应用访问受限的问题,有效提高了系统性能。
附图说明
图1为本发明实施例中通信系统架构示意图;
图2为本发明实施例中基于流量的安全事件检测流程图;
图3为本发明实施例中第一曲线示意图;
图4为本发明实施例中第二曲线示意图;
图5为本发明实施例中第三曲线示意图;
图6为本发明实施例中基于流量的安全事件检测装置结构示意图一;
图7为本发明实施例中基于流量的安全事件检测装置结构示意图二。
具体实施方式
为了解决目前在进行基于流量的安全事件检测时,存在WAF误判率高的问题。本发明实施例中,根据历史数据,获取待检测时间段内每一个时间点对应的预测流量总值;将每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比较,获取离群点集合;对离群点集合中的所有离群点进行筛选,将误判定离群点由该离群点集合中剔除。采用本发明技术方案,对WAF设备首次检测得到的离群点集合再次进行修正,获取误判定离群点,从而降低了WAF设备在安全事件检测过程中的误判率,避免了WAF设备由于误判断而进入比较严格的深度防护状态时其他设备应用访问受限的问题,使其他设备能够正常请求访问web服务器中的指定应用,有效提高了系统性能。
本发明实施例中,参阅图1所示,为本发明实施例中通信系统架构示意图,该通信系统包括WAF设备,web服务器,以及应用访问设备;其中,WAF设备,用于为web服务器提供防护,定期扫描各个web服务器以进行漏洞检测,当检测到非安全事件时,对web服务器执行应用访问受限操作;web服务器,用于提供相应的网络服务;应用访问设备,用于向web服务器请求访问相应的应用。
下面结合附图对本发明优选的实施方式进行详细说明。
本发明实施例中,参阅图2所示,WAF设备进行安全事件检测的过程,包括:
步骤200:WAF设备从本地提取历史数据。
本发明实施例中,WAF设备在对web服务器进行安全防护过程中,监测该web服务器在每一个时间点的安全事件值和流量总值,并获取该WAF设备阻断的事件,根据WAF设备阻断的事件对应的时间点,及该时间点对应的安全事件值和流量总值;WAF服务器将该获取的每一个存在异常的时间点及其对应的安全事件值和流量总值作为历史数据存储至本地数据库中。其中,历史数据为描述web服务器安全状态的数据。
可选的,WAF设备从本地数据库中提取预设时长范围内的历史数据,生成历史数据集合,该历史数据集合如{tai,(sai,Tai)}所示;其中,tai为历史数据集合中的任意一时间点,sai为该任意一时间点tai时的安全事件值,Tai为该任意一时间点tai时的流量总值,i=1,2,…,n。较佳的,该预设时长范围大于等于一个月。
步骤210:WAF设备根据上述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值。
本发明实施例中,WAF设备预测待检测时间段内每一个时间点对应的预测流量总值的过程,具体包括:针对上述历史数据中包含的每一个时间点,根据该时间点对应的安全事件值和流量总值,获取该时间点对应的危险度;其中,该危险度与上述安全事件值成正比,且该危险度与上述流量总值成反比;对上述历史数据中包含的每一个时间点及每一个时间点对应的危险度进行曲线拟合,生成第一曲线;其中,该第一曲线上的每一个点对应至少一个事件;根据生成的第一曲线走势,预测待检测时间段内每一个时间点对应的预测危险度;根据每一个预测危险度及其对应的时间点,获取每一个时间点对应的预测流量总值。其中,上述待检测时间段通常为距离当前时刻较为接近的时间段;且该待检测时间段内的每一个时间点均为按照预设规则采样获得,该预设规则可以为预设周期,可以为其他规则。
可选的,采用如下公式获取任意一时间点对应的危险度:
可选的,WAF设备根据每一个时间点及其对应的危险度,基于指数函数方程进行曲线拟合或者直线函数方程进行曲线拟合,获取第一曲线。参阅图3所示,该第一曲线以时间为横坐标,危险度为纵坐标,点A即为不符合第一曲线的离群点,该点A对应的时间点为t1,危险度为S1
可选的,WAF设备根据每一个预测危险度及其对应的时间点,获取每一个时间点对应的预测流量总值的过程,具体包括:针对每一个时间点,获取该时间点对应的预测危险度,以及该时间点对应的安全事件值,将该安全事件值与该预测危险度之间的比值确定为该时间点对应的预测流量总值。
步骤220:针对待检测时间段内的每一个时间点,WAF设备根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度。
本发明实施例中,WAF设备获取该时间点对应的偏离度的过程,具体包括:针对待检测时间段内的每一个时间点,均执行如下操作,根据该时间点对应的安全事件值,以及该时间点对应的实际流量总值,获取该时间点对应的实际危险度;根据该时间点对应的实际危险度,该时间点对应的实际流量总值,该时间点对应的预测危险度,该时间点对应的预测流量总值,获取该时间点对应的偏离度;其中,该时间点对应的偏离度与该时间点对应的预测危险度和实际危险度的乘积成正比。
可选的,上述偏离度可以通过如下公式获取:
其中,Di为时间点对应的偏离度;S实际i为该时间点对应的实际危险度;S预测i为该时间点对应的预测危险度;T实际i为该时间点对应的实际流量总值;T预测i为该时间点对应的实际流量总值。
进一步的,根据待检测时间段内每一个时间点对应的偏离度、实际流量总值、安全事件值,生成待检测集合,该待检测集合如{tbi,(sbi,Tbi),Di}所示,其中,tbi为待检测集合中的任意一时间点,sbi为该任意一时间点tbi时的安全事件值,Tbi为该任意一时间点tbi时的流量总值,Di为该任意一时间点tbi时的偏离度,i=1,2,…,n。
步骤230:WAF设备从上述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合。
本发明实施例中,根据预设偏离度划分范围,对上述待检测集合中的时间点对应的偏离度进行筛选,并获取不在预设偏离度划分范围内的时间点对应的偏离度、安全事件值和实际流量总值,生成离群点集合。
可选的,上述预设偏离度划分范围为大于0且小于0.1。即当待检测集合中存在任意一时间点,该时间点对应的偏离度小于等于0,或者大于等于0.1时,确定该任意一时间点以及该任意一时间点对应的偏离度呈现在第一曲线上的点为离群点,将该任意一时间点对应的偏离度、安全事件值和实际流量总值加入离群点集合中。
进一步的,WAF设备选取偏离度满足预设偏离度划分范围的时间点及其对应的偏离度和实际流量总和,生成安全点集合。
步骤240:WAF设备根据上述离群点集合内每一个时间点对应的偏离度和实际流量总值,对该离群点集合进行筛选,获取该离群点集合中的误判定离群点,确定该误判定离群点对应的事件为安全事件。
本发明实施例中,WAF设备获取该离群点集合中的误判定离群点的过程,具体包括:根据上述离群点集合中每一个时间点对应的偏离度,以及预设偏离度划分范围,对该离群点集合进行划分,生成至少一个第一子集合;针对每一个第一子集合,根据该第一子集合中每一个时间点对应的实际流量总值,以及预设流量总值划分范围,对该第一子集合进行划分,生成至少一个第二子集合,该第二子集合可以如{tci,(sci,Tci),Di}所示,其中,tci为第二子集合中的任意一时间点,sci为该任意一时间点tci时的安全事件值,Tci为该任意一时间点tci时的流量总值,Di为该任意一时间点tci时的偏离度,i=1,2,…,n;针对每一个第二子集合,分别获取每相邻两个时间点对应的相对危险度(S相对i);根据每相邻两个时间点之间的时间间隔,以及上述每一个时间间隔对应的相对危险度,采用直线函数方程进行曲线拟合,生成第二曲线;获取第二曲线中斜率满足预设斜率范围的时间间隔;并将满足预设斜率范围的时间间隔对应的时间点确定为误判定离群点;其中,该预设斜率范围为大于等于0.96小于等于1。
可选的,根据每相邻两个时间点之间的时间间隔,以及上述每一个时间间隔对应的相对危险度,采用直线函数方程进行曲线拟合,生成第二曲线;其中,该直线函数方程可以为y=ax+k。
可选的,上述相对危险度可以采用如下公式获取:
其中,S相对i为相邻两个时间点对应的相对危险度;sc(i+1)为相邻两个时间点中后一个时间点对应的安全事件值;sci为相邻两个时间点中前一个时间点对应的安全事件值;Tc(i+1)为相邻两个时间点中后一个时间点对应的实际流量总值;Tci为相邻两个时间点中前一个时间点对应的实际流量总值。
分别获取每相邻两个时间点对应的相对危险度,具体包括:按照时间先后顺序,对第二子集合中所有时间点进行排序;针对排序后的第二子集合,获取每相邻两个时间点分别对应的安全事件值之差,以及该每相邻两个时间点分别对应的实际危险度之差;将该每相邻两个时间点对应的安全事件值之差以及实际危险度之差的比值,确定为该每相邻两个时间点对应的相对危险度。
例如,针对离群点集合,该离群点集合为{(t1,s1,T1,D1),(t2,s2,T2,D2),(t3,s3,T3,D3),(t4,s4,T4,D4),(t5,s5,T5,D5),(t6,s6,T6,D6)},预设偏离度划分范围为【0.1,0.2),【0.2,0.3),将判定D1,D3,D4和D6属于【0.1,0.2),D2和D5满足【0.2,0.3),因此,得到的第一子集合分别为{(t1,s1,T1,D1),(t3,s3,T3,D3),(t4,s4,T4,D4),(t6,s6,T6,D6)}和{(t2,s2,T2,D2),(t5,s5,T5,D5)};针对第一子集合{(t1,s1,T1,D1),(t3,s3,T3,D3),(t4,s4,T4,D4),(t6,s6,T6,D6)},若预设的流量总值范围【1×105,1.1×105),【1.1×105,1.2×105),则上述T1,T3和T5均属于【1×105,1.1×105),T4属于【1.1×105,1.2×105),则得到第二子集合{(t1,s1,T1,D1),(t3,s3,T3,D3),(t6,s6,T6,D6)},以及第二子集合{(t4,s4,T4,D4)};在上述过程中,根据第一子集合{(t2,s2,T2,D2),(t5,s5,T5,D5)}获取第二子集合的方式与上述第一子集合{(t1,s1,T1,D1),(t3,s3,T3,D3),(t4,s4,T4,D4),(t6,s6,T6,D6)}中获取第二子集合的方式相同,在此不再赘述;针对第二子集合{(t1,s1,T1,D1),(t3,s3,T3,D3),(t6,s6,T6,D6)},相邻两个时间点分别为时间点t1和t3,以及时间点t3和t6,分别获取时间点t1和t3对应的相对危险度S1,以及时间点t3和t6对应的相对危险度S2,根据(t31,S1),(t63,S2),采用曲线拟合方式,获取第二曲线(参阅图4所示),并计算该曲线斜率满足预设斜率范围时,确定(t1,s1,T1,D1)(对应于点A),(t3,s3,T3,D3)(对应于点B),(t6,s6,T6,D6)(对应于点C)对应于第一曲线上的点为误判定离群点。其中,上述t31=t3-t1,t63=t6-t3
采用本发明技术方案,WAF设备对首次确定的离群点集合中的离群点进行二次判断,以将首次判断过程中的误判定离群点由离群点集合中剔除,从而保证了生成的离群点集合的准确性;并且,WAF设备在确定任意一离群点为误判定离群点之后,即不进入比较严格的深度保护状态,从而避免其他设备对web服务器的访问受限。
进一步的,将上述误判定离群点从离群点集合中剔除之后,将该误判定离群点添加至安全点集合中,以对安全点集合进行修正;根据修正后的安全点集合,进行曲线拟合,生成第三曲线(参阅图5所示)。
采用本发明技术方案,将得到的误判定离群点加入安全点集合中,重新拟合曲线,从而使得生成的拟合曲线更加准确,WAF设备基于修正后的拟合曲线进行基于流量的安全事件检测时,将降低误差。
基于上述技术方案,参阅图6所示,本发明实施例提供一种基于流量的安全事件检测装置,该装置包括提取单元60,预测单元61,获取单元62,生成单元63,以及确定单元64,其中:
提取单元60,用于从本地提取历史数据;其中,所述历史数据包括时间点,所述时间点对应的安全事件值,以及所述时间点对应的流量总值;
预测单元61,用于根据所述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值;
获取单元62,用于针对所述待检测时间段内的每一个时间点,根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度;
生成单元63,用于从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合;
确定单元64,根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值,对所述离群点集合进行筛选,获取所述离群点集合中的误判定离群点,确定所述误判定离群点对应的事件为安全事件。
可选的,所述预测单元61,具体用于:针对所述历史数据中包含的每一个时间点,根据该时间点对应的安全事件值和流量总值,获取该时间点对应的危险度;其中,所述危险度与所述安全事件值成正比,且所述危险度与所述流量总值成反比;对所述历史数据中包含的每一个时间点及所述每一个时间点对应的危险度进行曲线拟合,生成第一曲线;根据生成的所述第一曲线,预测待检测时间段内每一个时间点对应的预测危险度;根据所述每一个预测危险度及其对应的时间点,获取每一个时间点对应的预测流量总值。
可选的,所述获取单元62,具体用于:针对所述待检测时间段内的每一个时间点,均执行如下操作:根据所述时间点对应的安全事件值,以及所述时间点对应的实际流量总值,获取所述时间点对应的实际危险度;根据所述时间点对应的实际危险度,所述时间点对应的实际流量总值,所述时间点对应的预测危险度,所述时间点对应的预测流量总值,获取所述时间点对应的偏离度;其中,所述时间点对应的偏离度与所述时间点对应的预测危险度和实际危险度的乘积成正比。
可选的,所述确定单元64,具体用于:根据所述离群点集合中每一个时间点对应的偏离度,以及预设偏离度划分范围,对所述离群点集合进行划分,生成至少一个第一子集合;针对每一个第一子集合,根据该第一子集合中每一个时间点对应的实际流量总值,以及预设流量总值划分范围,对该第一子集合进行划分,生成至少一个第二子集合;针对每一个第二子集合,分别获取每相邻两个时间点对应的相对危险度;根据所述每相邻两个时间点之间的时间间隔,以及所述每一个时间间隔对应的相对危险度,采用直线函数方程进行曲线拟合,生成第二曲线;获取所述第二曲线中斜率满足预设斜率范围的时间间隔;并将所述满足预设斜率范围的时间间隔对应的时间点确定为误判定离群点。
可选的,所述确定单元64,具体用于:按照时间先后顺序,对所述第二子集合中所有时间点进行排序;针对排序后的第二子集合,获取每相邻两个时间点分别对应的安全事件值之差,以及所述每相邻两个时间点分别对应的实际危险度之差;将所述每相邻两个时间点对应的安全事件值之差以及实际危险度之差的比值,确定为所述每相邻两个时间点对应的相对危险度。
进一步的,所述装置还包括处理单元65,用于:获取该时间点对应的偏离度之后,选取偏离度满足预设偏离度划分范围的时间点及其对应的偏离度和实际流量总和,生成安全点集合;获取所述离群点集合中的误判定离群点之后,将所述误判定离群点从所述离群点集合中剔除,并确定剔除误判定离群点后的离群点集合中包含的所有时间点对应的点为离群点;以及将所述误判定离群点添加至所述安全点集合中,对所述安全点集合进行修正;根据修正后的所述安全点集合,进行曲线拟合,生成第三曲线。
参阅图7所示,本发明实施例中,提供另一种基于流量的安全事件检测装置,该基于流量的安全事件检测装置包括数据提取单元70,数据库71,第一曲线拟合单元72,离群点筛选单元73,第二曲线拟合单元74,修正处理单元75,其中,第一曲线拟合单元72和数据提取单元70用于对数据库71中提取的历史数据进行初次分析,离群点筛选单元73,第二曲线拟合单元74和修正处理单元75用于对初次分析后的离群点进行修正分析。具体的:
数据提取单元70,用于从数据库71中提取历史数据;
第一曲线拟合单元72,用于对数据提取单元70中提取的历史数据进行分析,获取离群点和安全点,将得到的离群点加入离群点集合76中,将安全点加入安全点集合77中;
离群点筛选单元73,用于对离群点集合76中的离群点进行分析,筛选出满足预设条件的离群点;
第二曲线拟合单元74,用于对筛选出满足预设条件的离群点进行曲线拟合;
修正处理单元75,用于对曲线拟合结果进行分析,获取误判定离群点,并将误判定离群点加入安全点集合77中。
综上所述,本发明实施例中,WAF设备从本地提取历史数据;WAF设备根据上述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值;针对待检测时间段内的每一个时间点,WAF设备根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度;WAF设备从上述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合;WAF设备根据上述离群点集合内每一个时间点对应的偏离度和实际流量总值,对该离群点集合进行筛选,获取该离群点集合中的误判定离群点,并将该误判定离群点从上述离群点集合中剔除,以及确定剔除误判定离群点集合中包含的所有时间点为离群点对应的时间点。采用本发明技术方案,对WAF设备防护对象的历史数据进行统计,找出离群点并对得到的结果进行修正,找出周期稳定且安全事件级别一致的离群点,对这些离群点进行曲线拟合,如果拟合出的曲线趋近于直线时,判定这些离群点对应的事件为安全事件,即对首次判断的离群点进行了修正,从而降低了WAF设备的误判率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (12)

1.一种基于流量的安全事件检测方法,其特征在于,包括:
网站应用级入侵访问系统WAF设备从本地提取历史数据;其中,所述历史数据包括时间点,所述时间点对应的安全事件值,以及所述时间点对应的流量总值;
所述WAF设备根据所述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值;
针对所述待检测时间段内的每一个时间点,所述WAF设备根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度;
所述WAF设备从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合;
所述WAF设备根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值,对所述离群点集合进行筛选,获取所述离群点集合中的误判定离群点,确定所述误判定离群点对应的事件为安全事件。
2.如权利要求1所述的方法,其特征在于,根据所述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值,具体包括:
针对所述历史数据中包含的每一个时间点,根据该时间点对应的安全事件值和流量总值,获取该时间点对应的危险度;其中,所述危险度与所述安全事件值成正比,且所述危险度与所述流量总值成反比;
对所述历史数据中包含的每一个时间点及所述每一个时间点对应的危险度进行曲线拟合,生成第一曲线;
根据生成的所述第一曲线,预测待检测时间段内每一个时间点对应的预测危险度;
根据所述每一个预测危险度及其对应的时间点,获取每一个时间点对应的预测流量总值。
3.如权利要求2所述的方法,其特征在于,根据所述待检测时间段内的时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度,具体包括:
针对所述待检测时间段内的每一个时间点,均执行如下操作:
根据所述时间点对应的安全事件值,以及所述时间点对应的实际流量总值,获取所述时间点对应的实际危险度;
根据所述时间点对应的实际危险度,所述时间点对应的实际流量总值,所述时间点对应的预测危险度,所述时间点对应的预测流量总值,获取所述时间点对应的偏离度;其中,所述时间点对应的偏离度与所述时间点对应的预测危险度和实际危险度的乘积成正比。
4.如权利要求3所述的方法,其特征在于,根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值,对所述离群点集合进行筛选,获取所述离群点集合中的误判定离群点,具体包括:
根据所述离群点集合中每一个时间点对应的偏离度,以及预设偏离度划分范围,对所述离群点集合进行划分,生成至少一个第一子集合;
针对每一个第一子集合,根据该第一子集合中每一个时间点对应的实际流量总值,以及预设流量总值划分范围,对该第一子集合进行划分,生成至少一个第二子集合;
针对每一个第二子集合,分别获取每相邻两个时间点对应的相对危险度;
根据所述每相邻两个时间点之间的时间间隔,以及所述每一个时间间隔对应的相对危险度,采用直线函数方程进行曲线拟合,生成第二曲线;
获取所述第二曲线中斜率满足预设斜率范围的时间间隔;并
将所述满足预设斜率范围的时间间隔对应的时间点确定为误判定离群点。
5.如权利要求4所述的方法,其特征在于,分别获取每相邻两个时间点对应的相对危险度,具体包括:
按照时间先后顺序,对所述第二子集合中所有时间点进行排序;
针对排序后的第二子集合,获取每相邻两个时间点分别对应的安全事件值之差,以及所述每相邻两个时间点分别对应的实际危险度之差;
将所述每相邻两个时间点对应的安全事件值之差以及实际危险度之差的比值,确定为所述每相邻两个时间点对应的相对危险度。
6.如权利要求1-5任一项所述的方法,其特征在于,获取该时间点对应的偏离度之后,进一步包括:选取偏离度满足预设偏离度划分范围的时间点及其对应的偏离度和实际流量总和,生成安全点集合;
获取所述离群点集合中的误判定离群点之后,进一步包括:
将所述误判定离群点从所述离群点集合中剔除,并确定剔除误判定离群点后的离群点集合中包含的所有时间点对应的点为离群点;以及
将所述误判定离群点添加至所述安全点集合中,对所述安全点集合进行修正;根据修正后的所述安全点集合,进行曲线拟合,生成第三曲线。
7.一种基于流量的安全事件检测装置,其特征在于,包括:
提取单元,用于从本地提取历史数据;其中,所述历史数据包括时间点,所述时间点对应的安全事件值,以及所述时间点对应的流量总值;
预测单元,用于根据所述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值;
获取单元,用于针对所述待检测时间段内的每一个时间点,根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度;
生成单元,用于从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合;
确定单元,根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值,对所述离群点集合进行筛选,获取所述离群点集合中的误判定离群点,确定所述误判定离群点对应的事件为安全事件。
8.如权利要求7所述的装置,其特征在于,所述预测单元,具体用于:
针对所述历史数据中包含的每一个时间点,根据该时间点对应的安全事件值和流量总值,获取该时间点对应的危险度;其中,所述危险度与所述安全事件值成正比,且所述危险度与所述流量总值成反比;对所述历史数据中包含的每一个时间点及所述每一个时间点对应的危险度进行曲线拟合,生成第一曲线;根据生成的所述第一曲线,预测待检测时间段内每一个时间点对应的预测危险度;根据所述每一个预测危险度及其对应的时间点,获取每一个时间点对应的预测流量总值。
9.如权利要求8所述的装置,其特征在于,所述获取单元,具体用于:
针对所述待检测时间段内的每一个时间点,均执行如下操作:根据所述时间点对应的安全事件值,以及所述时间点对应的实际流量总值,获取所述时间点对应的实际危险度;根据所述时间点对应的实际危险度,所述时间点对应的实际流量总值,所述时间点对应的预测危险度,所述时间点对应的预测流量总值,获取所述时间点对应的偏离度;其中,所述时间点对应的偏离度与所述时间点对应的预测危险度和实际危险度的乘积成正比。
10.如权利要求9所述的装置,其特征在于,所述确定单元,具体用于:
根据所述离群点集合中每一个时间点对应的偏离度,以及预设偏离度划分范围,对所述离群点集合进行划分,生成至少一个第一子集合;针对每一个第一子集合,根据该第一子集合中每一个时间点对应的实际流量总值,以及预设流量总值划分范围,对该第一子集合进行划分,生成至少一个第二子集合;针对每一个第二子集合,分别获取每相邻两个时间点对应的相对危险度;根据所述每相邻两个时间点之间的时间间隔,以及所述每一个时间间隔对应的相对危险度,采用直线函数方程进行曲线拟合,生成第二曲线;获取所述第二曲线中斜率满足预设斜率范围的时间间隔;并将所述满足预设斜率范围的时间间隔对应的时间点确定为误判定离群点。
11.如权利要求10所述的装置,其特征在于,所述确定单元,具体用于:
按照时间先后顺序,对所述第二子集合中所有时间点进行排序;针对排序后的第二子集合,获取每相邻两个时间点分别对应的安全事件值之差,以及所述每相邻两个时间点分别对应的实际危险度之差;将所述每相邻两个时间点对应的安全事件值之差以及实际危险度之差的比值,确定为所述每相邻两个时间点对应的相对危险度。
12.如权利要求7-11任一项所述的装置,其特征在于,还包括处理单元,用于:
获取该时间点对应的偏离度之后,选取偏离度满足预设偏离度划分范围的时间点及其对应的偏离度和实际流量总和,生成安全点集合;获取所述离群点集合中的误判定离群点之后,将所述误判定离群点从所述离群点集合中剔除,并确定剔除误判定离群点后的离群点集合中包含的所有时间点对应的点为离群点;以及将所述误判定离群点添加至所述安全点集合中,对所述安全点集合进行修正;根据修正后的所述安全点集合,进行曲线拟合,生成第三曲线。
CN201410835119.0A 2014-12-26 2014-12-26 一种基于流量的安全事件检测方法及装置 Active CN104486353B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410835119.0A CN104486353B (zh) 2014-12-26 2014-12-26 一种基于流量的安全事件检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410835119.0A CN104486353B (zh) 2014-12-26 2014-12-26 一种基于流量的安全事件检测方法及装置

Publications (2)

Publication Number Publication Date
CN104486353A CN104486353A (zh) 2015-04-01
CN104486353B true CN104486353B (zh) 2017-09-29

Family

ID=52760857

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410835119.0A Active CN104486353B (zh) 2014-12-26 2014-12-26 一种基于流量的安全事件检测方法及装置

Country Status (1)

Country Link
CN (1) CN104486353B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107172033B (zh) * 2017-05-10 2020-11-13 深信服科技股份有限公司 一种waf误判识别方法以及装置
CN107402547A (zh) * 2017-08-29 2017-11-28 北京易沃特科技有限公司 基于离群点分析的设备异常检测方法及系统
CN111726341B (zh) * 2020-06-02 2022-10-14 五八有限公司 一种数据检测方法、装置、电子设备及存储介质
GB2599958B (en) * 2020-10-19 2024-09-04 Kohler Mira Ltd Control system for one or more ablutionary devices

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158372A (zh) * 2011-04-14 2011-08-17 哈尔滨工程大学 一种分布式系统异常检测方法
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
CN103916385A (zh) * 2014-03-13 2014-07-09 南京理工大学 一种基于智能算法的waf安全监测系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9264321B2 (en) * 2009-12-23 2016-02-16 Juniper Networks, Inc. Methods and apparatus for tracking data flow based on flow state values

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158372A (zh) * 2011-04-14 2011-08-17 哈尔滨工程大学 一种分布式系统异常检测方法
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
CN103916385A (zh) * 2014-03-13 2014-07-09 南京理工大学 一种基于智能算法的waf安全监测系统

Also Published As

Publication number Publication date
CN104486353A (zh) 2015-04-01

Similar Documents

Publication Publication Date Title
CN106506556B (zh) 一种网络流量异常检测方法及装置
US8191149B2 (en) System and method for predicting cyber threat
CN109981328B (zh) 一种故障预警方法及装置
CN103593609B (zh) 一种可信行为识别的方法和装置
CN104901971B (zh) 对网络行为进行安全分析的方法和装置
CN117544420B (zh) 一种基于数据分析的融合系统安全管理方法及系统
CN112153044B (zh) 流量数据的检测方法及相关设备
CN104486353B (zh) 一种基于流量的安全事件检测方法及装置
CN107086944A (zh) 一种异常检测方法和装置
KR20180013998A (ko) 계정 도난 위험 식별 방법, 식별 장치, 예방 및 통제 시스템
TW201629824A (zh) 使用適應性行爲輪廓之異常檢測技術
CN114978568A (zh) 使用机器学习进行数据中心管理
CN104899513B (zh) 一种工业控制系统恶意数据攻击的数据图检测方法
KR20200057903A (ko) 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법
CN107547266B (zh) 在线量异常点的检测方法和装置、计算机设备和存储介质
CN107016298B (zh) 一种网页篡改监测方法及装置
CN109889512A (zh) 一种充电桩can报文的异常检测方法及装置
CN110545280A (zh) 一种基于威胁检测准确度的量化评估方法
CN114997607A (zh) 一种基于工程检测数据的异常评估预警方法及系统
CN104320271B (zh) 一种网络设备安全评估方法及装置
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN109726068A (zh) 一种数据检测方法及装置
KR101281460B1 (ko) 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법
CN114285612B (zh) 一种异常数据检测的方法、系统、装置、设备及介质
CN108229586B (zh) 一种数据中的异常数据点的检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee before: NSFOCUS TECHNOLOGIES Inc.

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder