[发明专利]一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法

说明书

本发明公开了一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法，该发明通过对ISP的HTTP流量进行检测与分析，首先根据相关功能url(含有login、register、logout字段)页面，从多ip异地登录、同ip多账号登录、非常用时间和端口登录、时长、次数、密码错误等维度得到用户账号风险值，然后根据正常用户在业务系统功能url的相关参数请求行为上具有明显的相似行为来得到用户发生该一业务过程的风险值，再利用条件随机场或者马尔科夫链相关机器学习算法来预测各个url业务过程之间的转移概率，得到发生业务流程的风险值，最后根据这3个风险值根据相应评分机制得到最终的安全风险值。

技术领域

本发明涉及一种从安全角度来对业务系统安全进行检测，特别涉及一种基于HTTP请求行为与业务流程相结合的安全风险值评估方法。

背景技术

业务安全是某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程，而业务安全就是保证这些流程按照预定的规则运行。业务安全可以从两个方面考虑，一个是业务过程安全，一个是业务流程安全。业务过程是具体业务系统的每个业务功能，可用通过对业务功能url请求的参数内容进行分析。简单地说，业务流程是由一系列的业务过程按照一定时间序列和逻辑规则组成的，即一系列URL集合，其中有不少的业务流程，如：1.账号体系(A. 注册->B.登录->C.密码找回->D.用户信息存储)、2.其他具体业务(A.恶意订单、B.低价购买、 C.抢购)。常见的业务安全有用户通过非法注册大量账号，对某一在线考试网站多次登录进行拖库操作，获取考试试题资料。更有甚者则利用漏洞，融合了HTTP泛洪攻击，SQL恶意代码注入等操作对数据库进行撞库操作，非法获取业务资料数据。

发明内容

本发明结合业务过程安全，考虑对应的功能url相关请求参数，分析HTTP报文中参数特征(请求类型(POST/GET)、域名、url、key-value、响应时间、响应内容、单位时间访问url 的次数等)建立特征工程，根据历史数据通过机器学习算法模型生成行为基线，从而判断该业务过程是否安全。利用业务系统自身的流程，对每个过程安全检测的同时，利用条件随机场算法来对每个过程之间的转移概率进行计算，结合评分模型，得到最终的业务安全风险值。本方案实施流程如下：

1.数据预处理。

根据系统自身业务逻辑规则。对业务过程安全而言，需对正常用户访问不同的功能url 的相关参数进行收集，通过一段时间学习形成一个相对完善的参数库，建立检测基线；对业务流程安全而言，需对完成每个业务流程包含的功能url进行收集，建立各个url之间转移概率表。在检测阶段，根据相关评分机制为用户进行威胁评分。

2.特征工程

以专利检索及分析业务系统为例，对相关功能url对应的pcap包进行http协议还原，采集相关数据集。

1)注册、登录、注销等信息

可以获取的特征有：当天第一次登录时间、最后一次注销时间、用户ip、用户账号、地理位置、登录总次数、在线登录总时长等。

2)业务系统功能url相关信息

统计每一种业务功能在指定时间窗口(如one hour)的访问的IP个数和每个IP的访问量。统计各个url返回的http报文信息：时间、HTTP状态代码、文件类型、文件大小、服务器IP、服务器端口、用户IP、用户端口。

3.用户账号安全检测。

对过去一周用户注册、登录、注销相关url的http协议pcap包数据进行还原，整合相关历史数据进行学习，建立行为基线，可以通过多维度通过机器学习算法进行检测。

4.业务功能url过程安全检测。

从不同功能url的请求参数检验、功能url合法性检验、相关恶意代码注入、异常响应四个角度。