CN110602021A

CN110602021A - 一种基于http请求行为与业务流程相结合的安全风险值评估方法

Info

Publication number: CN110602021A
Application number: CN201810603037.1A
Authority: CN
Inventors: 杨育斌; 尧涛; 柯宗贵
Original assignee: Blue Shield Information Security Technology Co Ltd
Current assignee: Blue Shield Information Security Technology Co Ltd; Bluedon Information Security Technologies Co Ltd
Priority date: 2018-06-12
Filing date: 2018-06-12
Publication date: 2019-12-20

Abstract

本发明公开了一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法，该发明通过对ISP的HTTP流量进行检测与分析，首先根据相关功能url(含有login、register、logout字段)页面，从多ip异地登录、同ip多账号登录、非常用时间和端口登录、时长、次数、密码错误等维度得到用户账号风险值，然后根据正常用户在业务系统功能url的相关参数请求行为上具有明显的相似行为来得到用户发生该一业务过程的风险值，再利用条件随机场或者马尔科夫链相关机器学习算法来预测各个url业务过程之间的转移概率，得到发生业务流程的风险值，最后根据这3个风险值根据相应评分机制得到最终的安全风险值。

Description

一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法

技术领域

本发明涉及一种从安全角度来对业务系统安全进行检测，特别涉及一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法。

背景技术

业务安全是某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程，而业务安全就是保证这些流程按照预定的规则运行。业务安全可以从两个方面考虑，一个是业务过程安全，一个是业务流程安全。业务过程是具体业务系统的每个业务功能，可用通过对业务功能url请求的参数内容进行分析。简单地说，业务流程是由一系列的业务过程按照一定时间序列和逻辑规则组成的，即一系列URL集合，其中有不少的业务流程，如：1.账号体系(A. 注册->B.登录->C.密码找回->D.用户信息存储)、2.其他具体业务(A.恶意订单、B.低价购买、 C.抢购)。常见的业务安全有用户通过非法注册大量账号，对某一在线考试网站多次登录进行拖库操作，获取考试试题资料。更有甚者则利用漏洞，融合了HTTP泛洪攻击，SQL恶意代码注入等操作对数据库进行撞库操作，非法获取业务资料数据。

发明内容

本发明结合业务过程安全，考虑对应的功能url相关请求参数，分析HTTP报文中参数特征(请求类型(POST/GET)、域名、url、key-value、响应时间、响应内容、单位时间访问url 的次数等)建立特征工程，根据历史数据通过机器学习算法模型生成行为基线，从而判断该业务过程是否安全。利用业务系统自身的流程，对每个过程安全检测的同时，利用条件随机场算法来对每个过程之间的转移概率进行计算，结合评分模型，得到最终的业务安全风险值。本方案实施流程如下：

1.数据预处理。

根据系统自身业务逻辑规则。对业务过程安全而言，需对正常用户访问不同的功能url 的相关参数进行收集，通过一段时间学习形成一个相对完善的参数库，建立检测基线；对业务流程安全而言，需对完成每个业务流程包含的功能url进行收集，建立各个url之间转移概率表。在检测阶段，根据相关评分机制为用户进行威胁评分。

2.特征工程

以专利检索及分析业务系统为例，对相关功能url对应的pcap包进行http协议还原，采集相关数据集。

1)注册、登录、注销等信息

可以获取的特征有：当天第一次登录时间、最后一次注销时间、用户ip、用户账号、地理位置、登录总次数、在线登录总时长等。

2)业务系统功能url相关信息

统计每一种业务功能在指定时间窗口(如one hour)的访问的IP个数和每个IP的访问量。统计各个url返回的http报文信息：时间、HTTP状态代码、文件类型、文件大小、服务器IP、服务器端口、用户IP、用户端口。

3.用户账号安全检测。

对过去一周用户注册、登录、注销相关url的http协议pcap包数据进行还原，整合相关历史数据进行学习，建立行为基线，可以通过多维度通过机器学习算法进行检测。

4.业务功能url过程安全检测。

从不同功能url的请求参数检验、功能url合法性检验、相关恶意代码注入、异常响应四个角度。

5.业务流程安全检测。

根据相关url之间的转移概率，利用CRF条件随机场算法计算某个用户发生某个业务流程的概率。

本发明技术方案带来的有益效果：

通过上述发明可以有效地为业务安全进行危险值评分；能进一步关联发生业务威胁的用户账号；该发明结合业务系统功能url的http请求行为，能对业务安全进行威胁评分。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明提出的流程图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本方案实施流程如下：

一、用户账号安全检测

对过去一周用户注册、登录、注销相关url的http协议pcap包数据进行还原，整合相关历史数据进行学习，建立行为基线，可以通过多维度通过机器学习算法进行检测：

1)同一时间段，相同账号多个IP异地登录

2)同一个ip，多个账号连续登录

3)非常用端口号，非常用时间进行账号登录

4)登录时长、登录次数异常

5)单个账号密码发生多次错误

根据上述5个维度，通过相关评分规则得到用户账号风险值Risk_User_Score。

二、业务功能url过程安全检测

1)不同功能url的请求参数检验

对请求的功能url进行检验，例如：”http://abc.com/xxx.html？key1＝value1&key2＝value2...”，对相同的功能url不同的key-value进行聚合，筛选出异常的key和value 值。

2)功能url合法性检验

对不同的用户url进行统计，利用机器学习算法，根据个人历史数据，通过纵向对比，得出该用户之前从未访问的异常url；根据同一群组历史数据，通过横向对比，得出组群内其他用户从未访问的异常url。

3)相关恶意代码注入

A.XSS攻击：xss攻击是跨站脚本攻击，例如在表单中提交含有可执行的javascript的内容文本，如果服务器端没有过滤或转义这些脚本，而这些脚本由通过内容的形式发布到了页面上，这个时候如果有其他用户访问这个网页，那么浏览器就会执行这些脚本，从而被攻击，从而获取用户的cookie等信息。例子：

https://www.t00ls.net/viewthread.php？action＝printable&tid＝152672/6

http://xxx？keyword＝<script>alert('aaa')</script>

B.SQL注入：通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。例子：

http://172.18.3.13:81/login.asp？pass＝admin&name＝admin'and(selectcount(*)from data)>0and'a'＝'a

针对上述两种web攻击，可采取两种方法进行检测：

①采取分词的策略，计算每个词的TFIDF，结合朴素贝叶斯或其他分类器进行检测。

②上述方法没有考虑到词序列的因素，对此可以结合Markov或RNN(LSTM)做异常识别。

4)异常响应

a响应时间：统计每项业务功能请求对应的响应时间，以历史均值u+3σ作为基线。若当前响应时间超过基线，那么可以告警。

b报文响应头部：针对每个响应参数，统计每个参数对应值的字符类型和长度，以此作为历史基线。当出现与基线不符的情况，那么报出异常。

c状态码：检测是否返回2**。若出现4**，表明客户端request使用了非法参数，可报出异常。若出现5**，表明服务器已出现问题，亦可报出异常。

d响应内容：对于response内容，使用内容相似性的方法进行异常判断。

Step1：去除html标签，保留剩下的文本信息。

Step2：计算功能页面response与基线的偏离值，即返回信息的异常值。

方法一：考虑到文本序列问题，使用n-gram构建文本序列对，使用Jaccard距离，计算基线的文本序列与待检测的文本序列的偏离值d。当偏离值d超过α，那么认为服务器返回的信息存在异常。

方法二：使用doc2vec构建文档向量(doc vector)，再使用cosine相似性，计算待检测文本vector与基线的vector计算相似度，再计算偏离值d＝1-similarity。当偏离值高于β，那么认为服务器返回的信息存在异常。

根据上述4个维度，通过相关评分规则得到业务过程风险值Risk_BusinessProcess_Score。

三、业务流程安全检测

一个业务流程是某一业务在一次执行过程中产生的，并根据产生时间的先后顺序组成的事件集合，其实也是一些功能url的集合。ES＝(E1,E2,…,En)。其中，E1为序列的起始事件，En为序列的终止事件，且满足Ei.timestamp≤Ej.timestamp。

通过采集正常业务流程的序列s＝(url_1,url_2,…,url_n)，根据还原http协议pcap 包，得到相关历史数据集合S＝(s1,s2,…,sn),计算相关url之间的转移概率，利用CRF 条件随机场算法计算某个用户发生某个业务流程的概率P(s),通过相关评分规则得到业务过程风险值Risk_BusinessFlow_Score。

四、风险值计算

根据流程一、二、三得到的Risk_User_score、Risk_BusinessProcess_Score、Risk_BusinessFlow_score，自定义相关权重δ1，δ2，δ3，其中δ1+δ2+δ3＝1，则最后的风险值RISK＝δ1*Risk_UserScore+δ2*Risk_{BusinessProcessScore}+δ3*Risk_{BusinessFlowScore}

以上对本发明实施例所提供的一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法，该发明通过对过去一周用户注册、登录、注销相关url的http协议pcap包数据进行还原，整合相关历史数据进行学习，建立行为基线，可以通过多维度通过机器学习算法进行检测。

2.根据权利要求1所述的一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法，其特征在于：当天第一次登录时间、最后一次注销时间、用户ip、用户账号、地理位置、登录总次数、在线登录总时长等。

3.根据权利要求1所述的一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法，其特征在于：统计各个url返回的http报文信息：时间、HTTP状态代码、文件类型、文件大小、服务器IP、服务器端口、用户IP、用户端口。