CN110602021A - 一种基于http请求行为与业务流程相结合的安全风险值评估方法 - Google Patents
一种基于http请求行为与业务流程相结合的安全风险值评估方法 Download PDFInfo
- Publication number
- CN110602021A CN110602021A CN201810603037.1A CN201810603037A CN110602021A CN 110602021 A CN110602021 A CN 110602021A CN 201810603037 A CN201810603037 A CN 201810603037A CN 110602021 A CN110602021 A CN 110602021A
- Authority
- CN
- China
- Prior art keywords
- risk value
- login
- business process
- url
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000008569 process Effects 0.000 title claims abstract description 35
- 238000011156 evaluation Methods 0.000 title claims abstract description 6
- 230000006399 behavior Effects 0.000 claims abstract description 14
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 9
- 238000010801 machine learning Methods 0.000 claims abstract description 6
- 238000001514 detection method Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 abstract description 16
- 230000007704 transition Effects 0.000 abstract description 5
- 230000007246 mechanism Effects 0.000 abstract description 2
- 230000004044 response Effects 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 9
- 238000013515 script Methods 0.000 description 5
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 108700041286 delta Proteins 0.000 description 3
- 238000007689 inspection Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法,该发明通过对ISP的HTTP流量进行检测与分析,首先根据相关功能url(含有login、register、logout字段)页面,从多ip异地登录、同ip多账号登录、非常用时间和端口登录、时长、次数、密码错误等维度得到用户账号风险值,然后根据正常用户在业务系统功能url的相关参数请求行为上具有明显的相似行为来得到用户发生该一业务过程的风险值,再利用条件随机场或者马尔科夫链相关机器学习算法来预测各个url业务过程之间的转移概率,得到发生业务流程的风险值,最后根据这3个风险值根据相应评分机制得到最终的安全风险值。
Description
技术领域
本发明涉及一种从安全角度来对业务系统安全进行检测,特别涉及一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法。
背景技术
业务安全是某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程,而业务安全就是保证这些流程按照预定的规则运行。业务安全可以从两个方面考虑,一个是业务过程安全,一个是业务流程安全。业务过程是具体业务系统的每个业务功能,可用通过对业务功能url请求的参数内容进行分析。简单地说,业务流程是由一系列的业务过程按照一定时间序列和逻辑规则组成的,即一系列URL集合,其中有不少的业务流程,如:1.账号体系(A. 注册->B.登录->C.密码找回->D.用户信息存储)、2.其他具体业务(A.恶意订单、B.低价购买、 C.抢购)。常见的业务安全有用户通过非法注册大量账号,对某一在线考试网站多次登录进行拖库操作,获取考试试题资料。更有甚者则利用漏洞,融合了HTTP泛洪攻击,SQL恶意代码注入等操作对数据库进行撞库操作,非法获取业务资料数据。
发明内容
本发明结合业务过程安全,考虑对应的功能url相关请求参数,分析HTTP报文中参数特征(请求类型(POST/GET)、域名、url、key-value、响应时间、响应内容、单位时间访问url 的次数等)建立特征工程,根据历史数据通过机器学习算法模型生成行为基线,从而判断该业务过程是否安全。利用业务系统自身的流程,对每个过程安全检测的同时,利用条件随机场算法来对每个过程之间的转移概率进行计算,结合评分模型,得到最终的业务安全风险值。本方案实施流程如下:
1.数据预处理。
根据系统自身业务逻辑规则。对业务过程安全而言,需对正常用户访问不同的功能url 的相关参数进行收集,通过一段时间学习形成一个相对完善的参数库,建立检测基线;对业务流程安全而言,需对完成每个业务流程包含的功能url进行收集,建立各个url之间转移概率表。在检测阶段,根据相关评分机制为用户进行威胁评分。
2.特征工程
以专利检索及分析业务系统为例,对相关功能url对应的pcap包进行http协议还原,采集相关数据集。
1)注册、登录、注销等信息
可以获取的特征有:当天第一次登录时间、最后一次注销时间、用户ip、用户账号、地理位置、登录总次数、在线登录总时长等。
2)业务系统功能url相关信息
统计每一种业务功能在指定时间窗口(如one hour)的访问的IP个数和每个IP的访问量。统计各个url返回的http报文信息:时间、HTTP状态代码、文件类型、文件大小、服务器IP、服务器端口、用户IP、用户端口。
3.用户账号安全检测。
对过去一周用户注册、登录、注销相关url的http协议pcap包数据进行还原,整合相关历史数据进行学习,建立行为基线,可以通过多维度通过机器学习算法进行检测。
4.业务功能url过程安全检测。
从不同功能url的请求参数检验、功能url合法性检验、相关恶意代码注入、异常响应四个角度。
5.业务流程安全检测。
根据相关url之间的转移概率,利用CRF条件随机场算法计算某个用户发生某个业务流程的概率。
本发明技术方案带来的有益效果:
通过上述发明可以有效地为业务安全进行危险值评分;能进一步关联发生业务威胁的用户账号;该发明结合业务系统功能url的http请求行为,能对业务安全进行威胁评分。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明提出的流程图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本方案实施流程如下:
一、用户账号安全检测
对过去一周用户注册、登录、注销相关url的http协议pcap包数据进行还原,整合相关历史数据进行学习,建立行为基线,可以通过多维度通过机器学习算法进行检测:
1)同一时间段,相同账号多个IP异地登录
2)同一个ip,多个账号连续登录
3)非常用端口号,非常用时间进行账号登录
4)登录时长、登录次数异常
5)单个账号密码发生多次错误
根据上述5个维度,通过相关评分规则得到用户账号风险值Risk_User_Score。
二、业务功能url过程安全检测
1)不同功能url的请求参数检验
对请求的功能url进行检验,例如:”http://abc.com/xxx.html?key1=value1&key2=value2...”,对相同的功能url不同的key-value进行聚合,筛选出异常的key和value 值。
2)功能url合法性检验
对不同的用户url进行统计,利用机器学习算法,根据个人历史数据,通过纵向对比,得出该用户之前从未访问的异常url;根据同一群组历史数据,通过横向对比,得出组群内其他用户从未访问的异常url。
3)相关恶意代码注入
A.XSS攻击:xss攻击是跨站脚本攻击,例如在表单中提交含有可执行的javascript的内容文本,如果服务器端没有过滤或转义这些脚本,而这些脚本由通过内容的形式发布到了页面上,这个时候如果有其他用户访问这个网页,那么浏览器就会执行这些脚本,从而被攻击,从而获取用户的cookie等信息。例子:
https://www.t00ls.net/viewthread.php?action=printable&tid=152672/6
http://xxx?keyword=<script>alert('aaa')</script>
B.SQL注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。例子:
http://172.18.3.13:81/login.asp?pass=admin&name=admin'and(selectcount(*)from data)>0and'a'='a
针对上述两种web攻击,可采取两种方法进行检测:
①采取分词的策略,计算每个词的TFIDF,结合朴素贝叶斯或其他分类器进行检测。
②上述方法没有考虑到词序列的因素,对此可以结合Markov或RNN(LSTM)做异常识别。
4)异常响应
a响应时间:统计每项业务功能请求对应的响应时间,以历史均值u+3σ作为基线。若当前响应时间超过基线,那么可以告警。
b报文响应头部:针对每个响应参数,统计每个参数对应值的字符类型和长度,以此作为历史基线。当出现与基线不符的情况,那么报出异常。
c状态码:检测是否返回2**。若出现4**,表明客户端request使用了非法参数,可报出异常。若出现5**,表明服务器已出现问题,亦可报出异常。
d响应内容:对于response内容,使用内容相似性的方法进行异常判断。
Step1:去除html标签,保留剩下的文本信息。
Step2:计算功能页面response与基线的偏离值,即返回信息的异常值。
方法一:考虑到文本序列问题,使用n-gram构建文本序列对,使用Jaccard距离,计算基线的文本序列与待检测的文本序列的偏离值d。当偏离值d超过α,那么认为服务器返回的信息存在异常。
方法二:使用doc2vec构建文档向量(doc vector),再使用cosine相似性,计算待检测文本vector与基线的vector计算相似度,再计算偏离值d=1-similarity。当偏离值高于β,那么认为服务器返回的信息存在异常。
根据上述4个维度,通过相关评分规则得到业务过程风险值Risk_BusinessProcess_Score。
三、业务流程安全检测
一个业务流程是某一业务在一次执行过程中产生的,并根据产生时间的先后顺序组成的事件集合,其实也是一些功能url的集合。ES=(E1,E2,…,En)。其中,E1为序列的起始事件,En为序列的终止事件,且满足Ei.timestamp≤Ej.timestamp。
通过采集正常业务流程的序列s=(url_1,url_2,…,url_n),根据还原http协议pcap 包,得到相关历史数据集合S=(s1,s2,…,sn),计算相关url之间的转移概率,利用CRF 条件随机场算法计算某个用户发生某个业务流程的概率P(s),通过相关评分规则得到业务过程风险值Risk_BusinessFlow_Score。
四、风险值计算
根据流程一、二、三得到的Risk_User_score、Risk_BusinessProcess_Score、Risk_BusinessFlow_score,自定义相关权重δ1,δ2,δ3,其中δ1+δ2+δ3=1,则最后的风险值RISK=δ1*RiskUserScore+δ2*RiskBusinessProcessScore+δ3*RiskBusinessFlowScore
以上对本发明实施例所提供的一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (3)
1.一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法,该发明通过对过去一周用户注册、登录、注销相关url的http协议pcap包数据进行还原,整合相关历史数据进行学习,建立行为基线,可以通过多维度通过机器学习算法进行检测。
2.根据权利要求1所述的一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法,其特征在于:当天第一次登录时间、最后一次注销时间、用户ip、用户账号、地理位置、登录总次数、在线登录总时长等。
3.根据权利要求1所述的一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法,其特征在于:统计各个url返回的http报文信息:时间、HTTP状态代码、文件类型、文件大小、服务器IP、服务器端口、用户IP、用户端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810603037.1A CN110602021A (zh) | 2018-06-12 | 2018-06-12 | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810603037.1A CN110602021A (zh) | 2018-06-12 | 2018-06-12 | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110602021A true CN110602021A (zh) | 2019-12-20 |
Family
ID=68848881
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810603037.1A Pending CN110602021A (zh) | 2018-06-12 | 2018-06-12 | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110602021A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111079148A (zh) * | 2019-12-24 | 2020-04-28 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
CN111586037A (zh) * | 2020-05-06 | 2020-08-25 | 全知科技(杭州)有限责任公司 | 一种参数篡改网络请求异常的检测方法 |
CN112906003A (zh) * | 2021-03-28 | 2021-06-04 | 黑龙江朝南科技有限责任公司 | 一种用于http走私漏洞的检测技术 |
CN114615037A (zh) * | 2022-03-02 | 2022-06-10 | 奇安信科技集团股份有限公司 | 用于安全分析的实时空间行为安全基线生成方法及装置 |
CN115017181A (zh) * | 2022-06-23 | 2022-09-06 | 北京市燃气集团有限责任公司 | 一种基于机器学习的数据库基线确定方法及装置 |
CN116647412A (zh) * | 2023-07-26 | 2023-08-25 | 北京理想乡网络技术有限公司 | 一种Web服务器的安全防御方法和系统 |
CN116861439A (zh) * | 2023-06-21 | 2023-10-10 | 三峡高科信息技术有限责任公司 | 一种组件化方式实现业务系统防sql注入的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105320585A (zh) * | 2014-07-08 | 2016-02-10 | 北京启明星辰信息安全技术有限公司 | 一种实现应用故障诊断的方法及装置 |
CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
CN107911232A (zh) * | 2017-10-27 | 2018-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定业务操作规则的方法及装置 |
CN108111487A (zh) * | 2017-12-05 | 2018-06-01 | 全球能源互联网研究院有限公司 | 一种安全监控方法及系统 |
-
2018
- 2018-06-12 CN CN201810603037.1A patent/CN110602021A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105320585A (zh) * | 2014-07-08 | 2016-02-10 | 北京启明星辰信息安全技术有限公司 | 一种实现应用故障诊断的方法及装置 |
CN106953833A (zh) * | 2016-01-07 | 2017-07-14 | 无锡聚云科技有限公司 | 一种DDoS攻击检测系统 |
CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
CN107911232A (zh) * | 2017-10-27 | 2018-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定业务操作规则的方法及装置 |
CN108111487A (zh) * | 2017-12-05 | 2018-06-01 | 全球能源互联网研究院有限公司 | 一种安全监控方法及系统 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111079148A (zh) * | 2019-12-24 | 2020-04-28 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
CN111079148B (zh) * | 2019-12-24 | 2022-03-18 | 杭州安恒信息技术股份有限公司 | 一种sql注入攻击的检测方法、装置、设备及存储介质 |
CN111586037A (zh) * | 2020-05-06 | 2020-08-25 | 全知科技(杭州)有限责任公司 | 一种参数篡改网络请求异常的检测方法 |
CN111586037B (zh) * | 2020-05-06 | 2022-05-06 | 全知科技(杭州)有限责任公司 | 一种参数篡改网络请求异常的检测方法 |
CN112906003A (zh) * | 2021-03-28 | 2021-06-04 | 黑龙江朝南科技有限责任公司 | 一种用于http走私漏洞的检测技术 |
CN114615037A (zh) * | 2022-03-02 | 2022-06-10 | 奇安信科技集团股份有限公司 | 用于安全分析的实时空间行为安全基线生成方法及装置 |
CN115017181A (zh) * | 2022-06-23 | 2022-09-06 | 北京市燃气集团有限责任公司 | 一种基于机器学习的数据库基线确定方法及装置 |
CN115017181B (zh) * | 2022-06-23 | 2023-03-24 | 北京市燃气集团有限责任公司 | 一种基于机器学习的数据库基线确定方法及装置 |
CN116861439A (zh) * | 2023-06-21 | 2023-10-10 | 三峡高科信息技术有限责任公司 | 一种组件化方式实现业务系统防sql注入的方法 |
CN116861439B (zh) * | 2023-06-21 | 2024-04-12 | 三峡高科信息技术有限责任公司 | 一种组件化方式实现业务系统防sql注入的方法 |
CN116647412A (zh) * | 2023-07-26 | 2023-08-25 | 北京理想乡网络技术有限公司 | 一种Web服务器的安全防御方法和系统 |
CN116647412B (zh) * | 2023-07-26 | 2024-01-26 | 深圳市鹿驰科技有限公司 | 一种Web服务器的安全防御方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110602021A (zh) | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 | |
JP6530786B2 (ja) | Webページの悪意のある要素を検出するシステム及び方法 | |
US11722520B2 (en) | System and method for detecting phishing events | |
Rao et al. | Phishshield: a desktop application to detect phishing webpages through heuristic approach | |
US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
CN107707545B (zh) | 一种异常网页访问片段检测方法、装置、设备及存储介质 | |
CN108154029A (zh) | 入侵检测方法、电子设备和计算机存储介质 | |
US20230040895A1 (en) | System and method for developing a risk profile for an internet service | |
US11516235B2 (en) | System and method for detecting bots based on anomaly detection of JavaScript or mobile app profile information | |
Gao et al. | Anomaly detection of malicious users' behaviors for web applications based on web logs | |
Gupta et al. | Enhanced XSS defensive framework for web applications deployed in the virtual machines of cloud computing environment | |
Madhubala et al. | Survey on malicious URL detection techniques | |
RU2659482C1 (ru) | Способ защиты веб-приложений при помощи интеллектуального сетевого экрана с использованием автоматического построения моделей приложений | |
CN107231383B (zh) | Cc攻击的检测方法及装置 | |
Zaimi et al. | Survey paper: Taxonomy of website anti-phishing solutions | |
CN116346397A (zh) | 网络请求异常检测方法及其装置、设备、介质、产品 | |
Alidoosti et al. | Evaluating the web‐application resiliency to business‐layer DoS attacks | |
Kaur et al. | Efficient yet robust elimination of XSS attack vectors from HTML5 web applications hosted on OSN-based cloud platforms | |
Krishnaveni et al. | Multiclass classification of XSS web page attack using machine learning techniques | |
Zaimi et al. | A deep learning approach to detect phishing websites using CNN for privacy protection | |
CN112702349B (zh) | 一种网络攻击防御方法、装置及电子招标投标交易平台 | |
Jaswal et al. | Detection and Prevention of Phishing Attacks on Banking Website | |
Palka et al. | Dynamic phishing content using generative grammars | |
Wong et al. | PhishClone: measuring the efficacy of cloning evasion attacks | |
Banday et al. | Improving Security Control of Text-Based CAPTCHA Challenges using Honeypot and Timestamping |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |