CN108229176A - 一种确定Web应用防护效果的方法及装置 - Google Patents

Abstract

本发明实施例公开了一种确定Web应用防护效果的方法及装置，包括：获取待评估系统设定时间段内的攻击日志，根据其中的攻击事件类型、攻击时间，确定各类攻击事件；针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及风险级别，确定该类攻击事件的风险值；进而根据各类攻击事件的风险值，确定待评估系统的防护效果值。可见，由于可根据攻击时间和攻击事件数量两个因素独立衡量各类攻击事件类型的风险值，由于每类攻击事件的风险值可体现该类攻击事件发生时待评估系统受攻击的严重程度，以及待评估系统对其下站点的防护效果，因此根据各个风险值可准确、直观地确定出待评估系统整体的防护效果及受攻击严重程度。

Description

一种确定Web应用防护效果的方法及装置

技术领域

本发明涉及互联网及计算机技术领域，尤其涉及一种确定Web应用防护效果的方法及装置。

背景技术

当Web(World Wide Web，万维网)应用越来越丰富的同时，Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为被攻击的主要目标，因此Web服务器上的SQL注入、网页篡改、网页挂马等安全事件频繁发生。WAF(Web Application Firewall，Web应用防护系统)工作在应用层，基于对Web应用业务和逻辑的深刻理解，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

一般说来，WAF产品会对攻击事件进行分类，并给出风险等级。较好地，会统计一段时间内的事件，给出风险分布图和事件类型分布图。但是一直以来都无法直接、准确地衡量WAF产品的防护效果，或者说准确反应其所保护的站点的受攻击程度，WAF产品对哪个站点起到了更重要的积极作用。

综上所述，目前亟需要一种确定Web应用防护效果的方法，用以解决现有技术中无法直接和准确地衡量WAF产品的防护效果，以及站点的受攻击程度的技术问题。

发明内容

本发明提供一种确定Web应用防护效果的方法及装置，用以解决现有技术中无法直接和准确地衡量WAF产品的防护效果以及站点的受攻击程度的技术问题。

本发明实施例提供的一种确定Web应用防护效果的方法，包括：

获取待评估系统在设定时间段内的攻击日志；所述攻击日志包括攻击事件类型、攻击时间；

从所述攻击日志确定各类攻击事件；

针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；所述风险值用于衡量所述待评估系统应对该类攻击事件的有效能力；

根据各类攻击事件对应的风险值，确定所述待评估系统的防护效果值。

可选地，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值，包括：

根据每个攻击事件的攻击时间，确定所述攻击事件类型的时间权重因子；

根据该类攻击事件的数量，确定所述攻击事件类型的数量权重因子；

根据该类攻击事件的风险级别，以及所述时间权重因子、所述数量权重因子，确定该类攻击事件对应的风险值。

可选地，所述根据每个攻击事件的攻击时间，确定所述攻击事件类型的时间权重因子，包括：

针对每个攻击事件，根据该攻击事件的攻击时间，确定该攻击事件距离当前时间的时间差值；根据所述时间差值确定该攻击事件对应的时间权重因子；

根据每个攻击事件对应的时间权重因子确定所述攻击事件类型的时间权重因子。

可选地，所述根据所述时间差值确定该攻击事件对应的时间权重因子满足如下公式：

其中，f为该攻击事件对应的时间权重因子，Δt为所述时间差值。

可选地，根据该类攻击事件的数量，确定所述攻击事件类型的数量权重因子，包括：

根据该类攻击事件的风险级别和该类攻击事件的数量，通过如下公式确定出所述攻击事件类型的数量权重因子：

W_t＝log_α(n×α^(r-1))

其中，W_t为所述攻击事件类型的数量权重因子，α为级别换算基数，n为该类攻击事件的数量，r为该类攻击事件的风险级别。

基于同样的发明构思，本发明还提供一种确定Web应用防护效果的装置，包括：

获取模块，用于获取待评估系统在设定时间段内的攻击日志；所述攻击日志包括攻击事件类型、攻击时间；

确定模块，用于从所述攻击日志确定各类攻击事件；

所述确定模块还用于，针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；所述风险值用于衡量所述待评估系统应对该类攻击事件的有效能力；

处理模块，用于根据各类攻击事件对应的风险值，确定所述待评估系统的防护效果值。

可选地，所述确定模块具体用于：

根据每个攻击事件的攻击时间，确定所述攻击事件类型的时间权重因子；

根据该类攻击事件的数量，确定所述攻击事件类型的数量权重因子；

根据该类攻击事件的风险级别，以及所述时间权重因子、所述数量权重因子，确定该类攻击事件对应的防护效果值。

可选地，所述确定模块具体还用于：

针对每个攻击事件，根据该攻击事件的攻击时间，确定该攻击事件距离当前时间的时间差值；根据所述时间差值确定该攻击事件对应的时间权重因子；

根据每个攻击事件对应的时间权重因子确定所述攻击事件类型的时间权重因子。

可选地，所述确定模块具体用于根据所述时间差值，通过如下公式，确定该攻击事件对应的时间权重因子：

其中，f为该攻击事件对应的时间权重因子，Δt为所述时间差值。

可选地，所述确定模块具体用于：

根据该类攻击事件的风险级别和该类攻击事件的数量，通过如下公式确定出所述攻击事件类型的数量权重因子：

W_t＝log_α(n×α^(r-1))

其中，W_t为所述攻击事件类型的数量权重因子，α为级别换算基数，n为该类攻击事件的数量，r为该类攻击事件的风险级别。

本发明另一实施例提供了一种计算设备，其包括存储器和处理器，其中，所述存储器用于存储程序指令，所述处理器用于调用所述存储器中存储的程序指令，按照获得的程序执行上述任一种方法。

本发明另一实施例提供了一种计算机存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述任一种方法。

本发明实施例提供的一种确定Web应用防护效果的方法包括，获取待评估系统在设定时间段内的攻击日志，根据攻击日志中的攻击事件类型、攻击时间，确定各类攻击事件；针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；进而根据各类攻击事件对应的风险值，确定待评估系统的防护效果值。可见，由于可根据攻击时间和攻击事件数量两个因素对各类攻击事件类型的风险值进行独立衡量，而每一类攻击事件的风险值不仅可体现在该类攻击事件发生时待评估系统所受攻击的严重程度，相应地也反映出待评估系统对其下站点的防护效果，因此，根据各个攻击事件类型的风险值可准确、直观地确定出待评估系统整体的防护效果以及受攻击的严重程度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种确定Web应用防护效果的方法所对应的流程示意图；

图2为本发明实施例中确定每一类攻击事件对应的防护效果所对应的流程示意图；

图3为本发明实施例中提供的确定攻击事件的时间权重因子的函数的函数图像；

图4为本发明实施例中提供的上述确定攻击事件的数量权重因子的函数的函数图像；

图5为本发明实施例提供的一种确定Web应用防护效果的装置的结构示意图；

图6为本发明实施例提供的一种计算设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例，仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例中提供的确定Web应用防护效果的方法应用于Web应用防护系统，简称WAF。目前，为了抵御外界对Web应用的攻击，许多IT企业都布署有WAF。虽然不同WAF产品的防御能力不同，但是一般情况下，WAF产品都会对发生的攻击事件进行记录和分类，形成攻击日志。本发明则通过对攻击日志中各攻击事件的发生时间、数量、类型等信息进行分析，以确定WAF产品的防护效果。

下面结合说明书附图对本发明实施例做进一步详细描述。

图1示出了本发明实施例中提供的一种确定Web应用防护效果的方法所对应的流程示意图，如图1所示，所述方法包括：

步骤S101:获取待评估系统在设定时间段内的攻击日志；所述攻击日志包括攻击事件类型、攻击时间；

步骤S102：从所述攻击日志确定各类攻击事件；

步骤S103：针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；所述风险值用于衡量所述待评估系统应对该类攻击事件的有效能力；

步骤S104:根据各类攻击事件对应的风险值，确定所述待评估系统的防护效果值。

在步骤S101中，获取待评估系统在设定时间段内的攻击日志。本发明实施例中，待评估系统可以为任一种WAF产品，设定时间段为待评估系统开始正常运行后的某一设定时间节点至当前时间的时间段，其中，设定时间节点可由本领域技术人员根据实际需要设定。本发明对此不做具体限制。可选的，设定时间段为待评估系统正常运行的开始时刻至当前时间的整个时间段。

具体的，攻击日志中记录有在设定时间段内发生的各攻击事件的详细信息，即每一攻击事件归属的攻击事件类型以及攻击时间，该攻击时间即为该攻击事件的发生时间。因而，在步骤S102中，可根据攻击日志中的内容，确定各类攻击事件。其中，一类攻击事件对应一个攻击事件类型，确定出的每一类攻击事件均包括，该攻击事件类型对应的攻击事件的数量，以及各个攻击事件的攻击时间。

本发明实施例中，不同待评估系统中划分的攻击事件类型的数量、攻击事件类型的风险级别的取值范围，以及每一攻击事件类型对应的风险级别可能并不相同，因此，若要将根据本发明中提供的方法对不同待评估系统的防护效果值进行比较，则在确定每类攻击事件对应的的防护效果值之前，需对待评估系统的攻击事件类型进行归一化处理。

例如，若待评估系统共有N种攻击事件类型，其中攻击事件类型的最大和最小风险级别分别为r′_max、r′_min。将这N种攻击事件类型被归一化为M种攻击事件类型，其中的最大风险级别和最小风险级别分别为1和M。若某个攻击事件类型k，且0<k≤N，该攻击事件类型在归一化前的风险级别为r′_k，归一化后的风险级别为r_k，则该攻击事件类型对应的归一化前和归一化后的风险级别满足如下关系：

本发明实施例中，归一化后待评估系统中攻击事件类型的数量M可由本领域技术人员根据实际情况具体地设置，本发明对此不做具体限制。可选地，将M值设置为9，即归一化后风险级别的取值范围为[1，9]。

无论是归一化前还是归一化后，任一攻击事件类型的风险级别不仅与待评估系统的防护效果值正相关，且均为正整数，也就是说，若将待评估系统的风级级别归一化到[1，M]中，则意味着归一化后的各个攻击事件类型的风险级别分别为1、2、3、4、5、6、7、8、9。若此时攻击事件类型k的风险级别r_k＝i，i∈[1,9]，则比攻击事件类型k高一级别的攻击事件类型的风险级别满足r_k+1＝i+1。

由于风险级别均为正整数，以M为等于9为例，经上述公式一中攻击事件类型k的风险级别进行换算后，还包括对归一化后的风险级别取整的步骤，即：

需要说明的是，依据具体应用场景的不同，可以将round函数设置为向上取整、向下取整、四舍五入等多种类型，本发明对此不做具体限制。

可见，通过对待评估系统的攻击事件类型进行归一化后，本发明实施例提供的确定Web应用防护效果的方法可应用于多种待评估系统中，且对待评估系统的防护效果的比较提供了便利。

在步骤S103中，针对任一类攻击事件，可根据该攻击事件类型对应的每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值。其中，每类攻击事件对应的风险值用于衡量待评估系统在应对该类攻击事件的有效能力，同时也可体现出该类攻击事件对待评估系统攻击的严重程度。也就是说，若某一攻击事件类型的风险值越大，表示该类攻击事件发生时待评估系统受到的攻击越严重，相应地，待评估系统对其下的站点的防护效果也就越强。

具体的，确定每一类攻击事件对应的风险值，具体包括如下步骤S201至步骤S203：

步骤S201：根据每个攻击事件的攻击时间，确定该攻击事件类型的时间权重因子；

具体的，某一攻击事件类型的时间权重因子等于该攻击事件类型的所有攻击事件的时间权重因子的平均值，而某一具体的攻击事件的时间权重因子则是根据该攻击事件的攻击时间确定出的，并满足如下函数关系：

其中，f为某一攻击事件的时间权重因子，Δt为该攻击事件距离当前时间的时间差值，该时间差值是大于等于0的数值，即指攻击事件的攻击时间(即攻击时间发生时的时间)与当前时间之差的绝对值。若攻击事件A发生在当前时间的10分钟之前，则Δt等于10。，本领域技术人员可根据实际需要对Δt的单位进行合理的设置，本发明对此不做具体限制，可选地，将时间单位设置为分钟。

图3为本发明实施例中提供的上述确定攻击事件的时间权重因子的函数的函数图像。在具体的应用场景中，攻击日志中记录的各攻击事件均是过去已发生的攻击事件，因此，各攻击事件的时间差值Δt均为大于等于0的数值，即函数的定义域为[0，∞]。

如图3所示，该函数的函数值的值域在[0,1]的范围内，在Δt等于0时，函数值等于1，之后随着Δt增大，函数单调递减。可见，在当前时刻发生的攻击事件对待评估系统的防护效果影响最大，随着时间的逝去，该攻击事件的影响逐渐减弱。或者说，某一攻击事件发生的时间越近，越应该引起重视，而事件发生的时间越远，对当前的警示作用越弱。

如此，某一攻击事件类型的时间权重因子满足：

其中，W_t为某一攻击事件类型的时间权重因子，n为该攻击事件类型对应的攻击事件的数量，j表示该攻击事件类型对应的各个攻击事件中的第j个攻击事件，Δt为该第j个攻击事件的时间差值。

步骤S202：根据该类攻击事件的数量，确定该攻击事件类型的数量权重因子；

具体的，某一攻击事件类型的数量权重因子是根据该攻击事件类型的风险级别和该攻击事件类型对应的攻击事件的数量，通过如下公式确定出的：

W_n＝log_α(n×α^(r-1)) 公式五

其中，W_n表示某一攻击事件类型的数量权重因子，α为级别换算基数，n为该攻击事件类型对应的攻击事件的数量，r为该攻击事件类型的风险级别。

图4为本发明实施例中提供的上述确定攻击事件的数量权重因子的函数的函数图像，其中具体包括风险级别r在[1-9]范围内的多条函数曲线。如图4所示，数量权重因子随着攻击事件的数量n的增大按照对数关系逐渐增大，在攻击事件的数量相同的情况下，风险级别越高，对应的数量权重因子也就越高。

本发明实施例中，α为级别换算基数，它表示一定数量的低风险级别的攻击事件对待评估系统的防护效果的影响可以等价于一个高风险级别的攻击事件。例如，若α取10，低风险级别的攻击事件类型的风险级别为2，攻击事件的数量为10，高风险级别的攻击事件类型的风险级别为3，攻击事件的数量为1，则可以看出低风险级别和高风险级别的攻击事件的数量权重因子分别为W_低＝lg(10×10^(2-1))＝2，W_高＝lg(1×10^(3-1))2，二者相等。

步骤S203：根据该类攻击事件的风险级别，以及所述时间权重因子、所述数量权重因子，确定该类攻击事件对应的风险值。

具体的，某一攻击事件类型对应的风险值等于该攻击事件类型的风险级别与该攻击事件类型对应的时间权重因子、数量权重因子的乘积：

其中，R_i为第i个攻击事件类型对应的风险值，n_i为第i个攻击事件类型对应的攻击事件的数量，j为第i个攻击事件类型对应的各个攻击事件中的第j个攻击事件，Δt为第j个攻击事件的时间差值，α为级别换算基数，r_i为第i个攻击事件类型对应的风险级别。

可以看出，针对每一攻击事件类型，确定该攻击事件类型对应的风险值，需要确定出该攻击事件类型对应的时间权重因子和数量权重因子，但需要说明的是，本发明实施例中对确定该攻击事件类型对应的时间权重因子和数量权重因子的先后顺序不做具体限制，即可以先执行步骤S201再执行步骤S202，也可以反过来，先执行步骤S202再执行步骤S201。

在步骤S104中，待评估系统的防护效果值等于各个攻击事件类型对应的风险值之和，即：

其中，C_p为待评估系统的防护效果值，m为攻击事件类型的数量，i为攻击事件类型的编号，R_i为第i个攻击事件类型对应的风险值。

由上述公式七可以看出，待评估系统的防护效果值与发生过的攻击事件的数量、时间和类型正相关，攻击事件的数量越大、攻击事件发生的时间越近、攻击事件的风险级别越高，则表示待评估系统在过去面临的风险越大，收到的攻击越严重，相应地，待评估系统的防护效果也就越强。

本发明实施例中，通过执行上述步骤S101至步骤S104，可对待评估系统在某一时刻的防护效果进行量化。进而，重复上述步骤还可得到待评估系统在各个不同时刻的防护效果，从而得到待评估系统整体的功防态势。

量化后的待评估系统的防护效果值不仅可以更直观、准确地反应出该评估系统当前的风险态势，还对用户有直接的指导意义。例如，通过上述步骤确定出防护效果后，还可设置告警阈值或者设置查看趋势等功能，指导用户做出更准确地响应，如启用更复杂的策略，或者增加其他安全防护能力等等。

基于同样的发明构思，本发明实施例还提供一种确定Web应用防护效果的装置，图5为本发明实施例中提供的一种确定Web应用防护效果的装置的结构示意图，如图5所示，该装置500包括：

获取模块501，用于获取待评估系统在设定时间段内的攻击日志；所述攻击日志包括攻击事件类型、攻击时间；

确定模块502，用于从所述攻击日志确定各类攻击事件；

所述确定模块502还用于，针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；所述风险值用于衡量所述待评估系统应对该类攻击事件的有效能力；

处理模块503，用于根据各类攻击事件对应的风险值，确定所述待评估系统的防护效果值。

可选地，所述确定模块502具体用于：

根据每个攻击事件的攻击时间，确定所述攻击事件类型的时间权重因子；

根据该类攻击事件的数量，确定所述攻击事件类型的数量权重因子；

根据该类攻击事件的风险级别，以及所述时间权重因子、所述数量权重因子，确定该类攻击事件对应的风险值。

可选地，所述确定模块502具体还用于：

针对每个攻击事件，根据该攻击事件的攻击时间，确定该攻击事件距离当前时间的时间差值；根据所述时间差值确定该攻击事件对应的时间权重因子；

根据每个攻击事件对应的时间权重因子确定所述攻击事件类型的时间权重因子。

可选地，所述确定模块502具体用于根据所述时间差值，通过如下公式，确定该攻击事件对应的时间权重因子：

其中，f为该攻击事件对应的时间权重因子，Δt为所述时间差值。

可选地，所述确定模块502具体用于：

根据该类攻击事件的风险级别和该类攻击事件的数量，通过如下公式确定出所述攻击事件类型的数量权重因子：

W_t＝log_α(n×α^(r-1))

其中，W_t为所述攻击事件类型的数量权重因子，α为级别换算基数，n为该类攻击事件的数量，r为该类攻击事件的风险级别。

基于同样的发明构思，本发明实施例还提供另一种计算设备，该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal DigitalAssistant，PDA)等。如图6所示，该计算设备600可以包括中央处理器(Center ProcessingUnit，CPU)601、存储器602、输入/输出设备603及总线系统604等。其中，输入设备可以包括键盘、鼠标、触摸屏等，输出设备可以包括显示设备，如液晶显示器(Liquid CrystalDisplay，LCD)、阴极射线管(Cathode Ray Tube，CRT)等。

存储器可以包括只读存储器(ROM)和随机存取存储器(RAM)，并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中，存储器可以用于存储上述确定Web应用防护效果的方法的程序。

处理器通过调用存储器存储的程序指令，处理器用于按照获得的程序指令执行上述确定Web应用防护效果的方法。

基于同样的发明构思，本发明实施例提供了一种计算机存储介质，用于储存为上述计算设备所用的计算机程序指令，其包含用于执行上述确定Web应用防护效果的方法的程序。

所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

由上述内容可以看出：

本发明实施例提供的一种确定Web应用防护效果的方法包括，获取待评估系统在设定时间段内的攻击日志，根据攻击日志中的攻击事件类型、攻击时间，确定各类攻击事件；针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；进而根据各类攻击事件对应的风险值，确定待评估系统的防护效果值。可见，由于可根据攻击时间和攻击事件数量两个因素对各类攻击事件类型的风险值进行独立衡量，而每一类攻击事件的风险值不仅可体现在该类攻击事件发生时待评估系统所受攻击的严重程度，相应地也反映出待评估系统对其下站点的防护效果，因此，根据各个攻击事件类型的风险值可准确、直观地确定出待评估系统整体的防护效果以及受攻击的严重程度。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或两个以上其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或两个以上流程和/或方框图一个方框或两个以上方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或两个以上流程和/或方框图一个方框或两个以上方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或两个以上流程和/或方框图一个方框或两个以上方框中指定的功能的步骤。

尽管已描述了本发明的可选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种确定Web应用防护效果的方法，其特征在于，包括：

获取待评估系统在设定时间段内的攻击日志；所述攻击日志包括攻击事件类型、攻击时间；

从所述攻击日志确定各类攻击事件；

针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；所述风险值用于衡量所述待评估系统应对该类攻击事件的有效能力；

根据各类攻击事件对应的风险值，确定所述待评估系统的防护效果值。

2.根据权利要求1所述的方法，其特征在于，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值，包括：

根据每个攻击事件的攻击时间，确定所述攻击事件类型的时间权重因子；

根据该类攻击事件的数量，确定所述攻击事件类型的数量权重因子；

根据该类攻击事件的风险级别，以及所述时间权重因子、所述数量权重因子，确定该类攻击事件对应的风险值。

3.根据权利要求2所述的方法，其特征在于，所述根据每个攻击事件的攻击时间，确定所述攻击事件类型的时间权重因子，包括：

针对每个攻击事件，根据该攻击事件的攻击时间，确定该攻击事件距离当前时间的时间差值；根据所述时间差值确定该攻击事件对应的时间权重因子；

根据每个攻击事件对应的时间权重因子确定所述攻击事件类型的时间权重因子。

4.根据权利要求3所述的方法，其特征在于，所述根据所述时间差值，通过如下公式，确定该攻击事件对应的时间权重因子：

其中，f为该攻击事件对应的时间权重因子，Δt为所述时间差值。

5.根据权利要求2所述的方法，其特征在于，根据该类攻击事件的数量，确定所述攻击事件类型的数量权重因子，包括：

根据该类攻击事件的风险级别和该类攻击事件的数量，通过如下公式确定出所述攻击事件类型的数量权重因子：

W_n＝log_α(n×α^(r-1))

其中，W_n为所述攻击事件类型的数量权重因子，α为级别换算基数，n为该类攻击事件的数量，r为该类攻击事件的风险级别。

6.一种确定Web应用防护效果的装置，其特征在于，所述装置包括：

获取模块，用于获取待评估系统在设定时间段内的攻击日志；所述攻击日志包括攻击事件类型、攻击时间；

确定模块，用于从所述攻击日志确定各类攻击事件；

所述确定模块还用于，针对任一类攻击事件，根据每个攻击事件的攻击时间、该类攻击事件的数量及该类攻击事件的风险级别，确定该类攻击事件对应的风险值；所述风险值用于衡量所述待评估系统应对该类攻击事件的有效能力；

处理模块，用于根据各类攻击事件对应的风险值，确定所述待评估系统的防护效果值。

7.根据权利要求6所述的装置，其特征在于，所述确定模块具体用于：

根据每个攻击事件的攻击时间，确定所述攻击事件类型的时间权重因子；

根据该类攻击事件的数量，确定所述攻击事件类型的数量权重因子；

根据该类攻击事件的风险级别，以及所述时间权重因子、所述数量权重因子，确定该类攻击事件对应的风险值。

8.根据权利要求7所述的装置，其特征在于，所述确定模块具体还用于：

针对每个攻击事件，根据该攻击事件的攻击时间，确定该攻击事件距离当前时间的时间差值；根据所述时间差值确定该攻击事件对应的时间权重因子；

根据每个攻击事件对应的时间权重因子确定所述攻击事件类型的时间权重因子。

9.一种计算设备，其特征在于，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求1至5中任一项所述的方法。

10.一种计算机存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如权利要求1至5中任一项所述的方法。