| 发明名称 | 一种基于流量的安全事件检测方法及装置 | ||
| 摘要 | 本发明公开了一种基于流量的安全事件检测方法及装置,方法为,根据历史数据,获取待检测时间段内每一个时间点对应的预测流量总值;将每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比较,获取离群点集合;对离群点集合中的所有离群点进行筛选,将误判定离群点由该离群点集合中剔除。采用本发明技术方案,对WAF设备首次检测得到的离群点集合再次进行修正,将误判定离群点进行剔除,从而降低了WAF设备在安全事件检测过程中的误判率,避免了WAF设备由于误判断而进入比较严格的深度防护状态时其他设备无法请求网站中指定服务,使其他设备能够正常请求网站中的指定服务,有效提高了系统性能。 | ||
| 申请公布号 | CN104486353A | 申请公布日期 | 2015.04.01 |
| 申请号 | CN201410835119.0 | 申请日期 | 2014.12.26 |
| 申请人 | 北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司 | 发明人 | 张俊锋;刘嘉奇;夏兰 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京同达信恒知识产权代理有限公司 11291 | 代理人 | 黄志华 |
| 主权项 | 一种基于流量的安全事件检测方法,其特征在于,包括:网站应用级入侵访问系统WAF设备从本地提取历史数据;其中,所述历史数据包括时间点,所述时间点对应的安全事件值,以及所述时间点对应的流量总值;所述WAF设备根据所述历史数据,分别预测待检测时间段内每一个时间点对应的预测流量总值;针对所述待检测时间段内的每一个时间点,所述WAF设备根据该时间点对应的预测流量总值,以及该时间点对应的实际流量总值,获取该时间点对应的偏离度;所述WAF设备从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点,根据选取的时间点及其对应的偏离度和实际流量总和,生成离群点集合;所述WAF设备根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值,对所述离群点集合进行筛选,获取所述离群点集合中的误判定离群点,确定所述误判定离群点对应的事件为安全事件。 | ||
| 地址 | 100089 北京市海淀区北洼路4号益泰大厦三层 | ||