[发明专利]一种基于流量的安全事件检测方法及装置

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种基于流量的安全事件检测方法及装置。

背景技术

WAF(Web Application Firewall；Web应用防火墙)设备是为web服务器提供安全防护服务的设备，该WAF设备能够为web服务器制定相应的安全策略，统计web服务器中发生的事件(包括流量和安全攻击等数据)，以及控制对web服务器的应用访问。

在WAF设备中，安全事件检测是从大量事件中发现安全事件的过程。安全事件检测有着广泛的应用，例如，获取电子商务中的欺诈行为信息、获取金融领域信用卡恶意透支信息、以及获取网络安全中的恶意攻击行为信息等。

目前，在WAF设备中，安全事件检测主要通过WAF设备对已发生事件构成的历史数据的自学习实现，即WAF设备基于历史流量和安全攻击等数据进行推断，进而得出安全事件和非安全事件，当判定当前时刻为非安全状态时，WAF设备随即进入比较严格的深度防护状态，从而对web服务器提供的某些指定应用进行保护，即WAF设备拒绝其他设备请求访问该指定应用。

由此可见，当检测设备针对需要防护的web服务器定期执行扫描漏洞检测操作时，WAF设备根据历史数据判断web服务器对应的状态是否为安全状态，由于在不同应用场景下，根据历史数据进行安全事件检测时得到的检测结果准确性较低，因此，采用上述技术方案，将存在WAF设备误判断的情况，从而导致web服务器应用访问受限的问题。

综上所述，目前在进行安全事件检测时，存在WAF设备误判率高的问题。

发明内容

本发明实施例提供一种基于流量的安全事件检测方法及装置，用以解决目前在进行安全事件检测时，存在WAF设备误判率高的问题。

本发明实施例提供的具体技术方案如下：

一种基于流量的安全事件检测方法，包括：

从本地提取历史数据；其中，所述历史数据包括时间点，所述时间点对应的安全事件值，以及所述时间点对应的流量总值；

根据所述历史数据，分别预测待检测时间段内每一个时间点对应的预测流量总值；

针对所述待检测时间段内的每一个时间点，根据该时间点对应的预测流量总值，以及该时间点对应的实际流量总值，获取该时间点对应的偏离度；

从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点，根据选取的时间点及其对应的偏离度和实际流量总和，生成离群点集合；

根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值，对所述离群点集合进行筛选，获取所述离群点集合中的误判定离群点，确定所述误判定离群点为安全事件对应的点。

一种基于流量的安全事件检测装置，包括：

提取单元，用于从本地提取历史数据；其中，所述历史数据包括时间点，所述时间点对应的安全事件值，以及所述时间点对应的流量总值；

预测单元，用于根据所述历史数据，分别预测待检测时间段内每一个时间点对应的预测流量总值；

获取单元，用于针对所述待检测时间段内的每一个时间点，根据该时间点对应的预测流量总值，以及该时间点对应的实际流量总值，获取该时间点对应的偏离度；

生成单元，用于从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点，根据选取的时间点及其对应的偏离度和实际流量总和，生成离群点集合；

确定单元，根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值，对所述离群点集合进行筛选，获取所述离群点集合中的误判定离群点，确定所述误判定离群点为安全事件对应的点。

本发明实施例中，根据历史数据，获取待检测时间段内每一个时间点对应的预测流量总值；将每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比较，获取离群点集合；对离群点集合中的所有离群点进行筛选，将误判定离群点由该离群点集合中剔除。采用本发明技术方案，对根据历史数据，对待检测时间段内的每一个时间点及其对应的实际流量总值进行判定后得到的离群点集合再次进行修正，获取误判定离群点，从而降低了WAF设备在安全事件检测过程中的误判率，避免了WAF设备由于误判断而进入比较严格的深度防护状态时其他设备应用访问受限的问题，有效提高了系统性能。

附图说明

图1为本发明实施例中通信系统架构示意图；

图2为本发明实施例中基于流量的安全事件检测流程图；

图3为本发明实施例中第一曲线示意图；

图4为本发明实施例中第二曲线示意图；