一種基于流量的安全事件檢測方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種基于流量的安全事件檢測方法及裝置�,方法為,根據(jù)歷史數(shù)據(jù)�,獲取待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測流量總值��;將每一個時間點對應(yīng)的預(yù)測流量總值與該時間點對應(yīng)的實際流量總值進(jìn)行比較���,獲取離群點集合;對離群點集合中的所有離群點進(jìn)行篩選�����,將誤判定離群點由該離群點集合中剔除���。采用本發(fā)明技術(shù)方案���,對WAF設(shè)備首次檢測得到的離群點集合再次進(jìn)行修正�����,將誤判定離群點進(jìn)行剔除�����,從而降低了WAF設(shè)備在安全事件檢測過程中的誤判率��,避免了WAF設(shè)備由于誤判斷而進(jìn)入比較嚴(yán)格的深度防護(hù)狀態(tài)時其他設(shè)備無法請求網(wǎng)站中指定服務(wù)����,使其他設(shè)備能夠正常請求網(wǎng)站中的指定服務(wù)��,有效提高了系統(tǒng)性能�。
【專利說明】-種基于流量的安全事件檢測方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及網(wǎng)絡(luò)安全領(lǐng)域��,尤其設(shè)及一種基于流量的安全事件檢測方法及裝置��。
【背景技術(shù)】
[0002] WAF(Web Application Firewall ;Web應(yīng)用防火墻)設(shè)備是為web服務(wù)器提供安 全防護(hù)服務(wù)的設(shè)備�,該WAF設(shè)備能夠為web服務(wù)器制定相應(yīng)的安全策略,統(tǒng)計web服務(wù)器中 發(fā)生的事件(包括流量和安全攻擊等數(shù)據(jù))�,W及控制對web服務(wù)器的應(yīng)用訪問。
[0003] 在WAF設(shè)備中��,安全事件檢測是從大量事件中發(fā)現(xiàn)安全事件的過程�����。安全事件檢 測有著廣泛的應(yīng)用�����,例如��,獲取電子商務(wù)中的欺詐行為信息�、獲取金融領(lǐng)域信用卡惡意透支 信息�、W及獲取網(wǎng)絡(luò)安全中的惡意攻擊行為信息等��。
[0004] 目前�����,在WAF設(shè)備中����,安全事件檢測主要通過WAF設(shè)備對已發(fā)生事件構(gòu)成的歷史數(shù) 據(jù)的自學(xué)習(xí)實現(xiàn),即WAF設(shè)備基于歷史流量和安全攻擊等數(shù)據(jù)進(jìn)行推斷�,進(jìn)而得出安全事 件和非安全事件,當(dāng)判定當(dāng)前時刻為非安全狀態(tài)時��,WAF設(shè)備隨即進(jìn)入比較嚴(yán)格的深度防護(hù) 狀態(tài)��,從而對web服務(wù)器提供的某些指定應(yīng)用進(jìn)行保護(hù)�����,即WAF設(shè)備拒絕其他設(shè)備請求訪問 該指定應(yīng)用����。
[0005] 由此可見��,當(dāng)檢測設(shè)備針對需要防護(hù)的web服務(wù)器定期執(zhí)行掃描漏洞檢測操作 時,WAF設(shè)備根據(jù)歷史數(shù)據(jù)判斷web服務(wù)器對應(yīng)的狀態(tài)是否為安全狀態(tài)��,由于在不同應(yīng)用場 景下��,根據(jù)歷史數(shù)據(jù)進(jìn)行安全事件檢測時得到的檢測結(jié)果準(zhǔn)確性較低��,因此���,采用上述技術(shù) 方案��,將存在WAF設(shè)備誤判斷的情況�,從而導(dǎo)致web服務(wù)器應(yīng)用訪問受限的問題��。
[0006] 綜上所述�����,目前在進(jìn)行安全事件檢測時���,存在WAF設(shè)備誤判率高的問題���。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明實施例提供一種基于流量的安全事件檢測方法及裝置,用W解決目前在進(jìn) 行安全事件檢測時���,存在WAF設(shè)備誤判率高的問題���。
[000引本發(fā)明實施例提供的具體技術(shù)方案如下:
[0009] 一種基于流量的安全事件檢測方法�,包括:
[0010] 從本地提取歷史數(shù)據(jù)��;其中���,所述歷史數(shù)據(jù)包括時間點����,所述時間點對應(yīng)的安全事 件值��,W及所述時間點對應(yīng)的流量總值��;
[0011] 根據(jù)所述歷史數(shù)據(jù)�,分別預(yù)測待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測流量總 值;
[0012] 針對所述待檢測時間段內(nèi)的每一個時間點���,根據(jù)該時間點對應(yīng)的預(yù)測流量總值, W及該時間點對應(yīng)的實際流量總值����,獲取該時間點對應(yīng)的偏離度����;
[0013] 從所述待檢測時間段內(nèi)選取偏離度不滿足預(yù)設(shè)偏離度劃分范圍的時間點���,根據(jù)選 取的時間點及其對應(yīng)的偏離度和實際流量總和����,生成離群點集合�;
[0014] 根據(jù)所述離群點集合內(nèi)每一個時間點對應(yīng)的偏離度和實際流量總值,對所述離群 點集合進(jìn)行篩選���,獲取所述離群點集合中的誤判定離群點�����,確定所述誤判定離群點為安全 事件對應(yīng)的點�����。
[0015] 一種基于流量的安全事件檢測裝置���,包括:
[0016] 提取單元,用于從本地提取歷史數(shù)據(jù);其中���,所述歷史數(shù)據(jù)包括時間點��,所述時間 點對應(yīng)的安全事件值����,W及所述時間點對應(yīng)的流量總值�����;
[0017] 預(yù)測單元��,用于根據(jù)所述歷史數(shù)據(jù)��,分別預(yù)測待檢測時間段內(nèi)每一個時間點對應(yīng) 的預(yù)測流量總值����;
[0018] 獲取單元,用于針對所述待檢測時間段內(nèi)的每一個時間點���,根據(jù)該時間點對應(yīng)的 預(yù)測流量總值����,W及該時間點對應(yīng)的實際流量總值,獲取該時間點對應(yīng)的偏離度����;
[0019] 生成單元�����,用于從所述待檢測時間段內(nèi)選取偏離度不滿足預(yù)設(shè)偏離度劃分范圍的 時間點����,根據(jù)選取的時間點及其對應(yīng)的偏離度和實際流量總和,生成離群點集合���;
[0020] 確定單元��,根據(jù)所述離群點集合內(nèi)每一個時間點對應(yīng)的偏離度和實際流量總值��, 對所述離群點集合進(jìn)行篩選����,獲取所述離群點集合中的誤判定離群點��,確定所述誤判定離 群點為安全事件對應(yīng)的點����。
[0021] 本發(fā)明實施例中�,根據(jù)歷史數(shù)據(jù)����,獲取待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測 流量總值;將每一個時間點對應(yīng)的預(yù)測流量總值與該時間點對應(yīng)的實際流量總值進(jìn)行比 較����,獲取離群點集合;對離群點集合中的所有離群點進(jìn)行篩選�����,將誤判定離群點由該離群點 集合中剔除�����。采用本發(fā)明技術(shù)方案����,對根據(jù)歷史數(shù)據(jù),對待檢測時間段內(nèi)的每一個時間點及 其對應(yīng)的實際流量總值進(jìn)行判定后得到的離群點集合再次進(jìn)行修正���,獲取誤判定離群點�, 從而降低了 WAF設(shè)備在安全事件檢測過程中的誤判率,避免了 WAF設(shè)備由于誤判斷而進(jìn)入 比較嚴(yán)格的深度防護(hù)狀態(tài)時其他設(shè)備應(yīng)用訪問受限的問題���,有效提高了系統(tǒng)性能�����。
【專利附圖】
【附圖說明】
[0022] 圖1為本發(fā)明實施例中通信系統(tǒng)架構(gòu)示意圖;
[0023] 圖2為本發(fā)明實施例中基于流量的安全事件檢測流程圖����;
[0024] 圖3為本發(fā)明實施例中第一曲線示意圖;
[0025] 圖4為本發(fā)明實施例中第二曲線示意圖��;
[0026] 圖5為本發(fā)明實施例中第S曲線示意圖���;
[0027] 圖6為本發(fā)明實施例中基于流量的安全事件檢測裝置結(jié)構(gòu)示意圖一�;
[0028] 圖7為本發(fā)明實施例中基于流量的安全事件檢測裝置結(jié)構(gòu)示意圖二����。
【具體實施方式】
[0029] 為了解決目前在進(jìn)行基于流量的安全事件檢測時,存在WAF誤判率高的問題�����。本 發(fā)明實施例中,根據(jù)歷史數(shù)據(jù)��,獲取待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測流量總值�����;將 每一個時間點對應(yīng)的預(yù)測流量總值與該時間點對應(yīng)的實際流量總值進(jìn)行比較�����,獲取離群點 集合���;對離群點集合中的所有離群點進(jìn)行篩選��,將誤判定離群點由該離群點集合中剔除���。采 用本發(fā)明技術(shù)方案,對WAF設(shè)備首次檢測得到的離群點集合再次進(jìn)行修正����,獲取誤判定離 群點,從而降低了 WAF設(shè)備在安全事件檢測過程中的誤判率�,避免了 WAF設(shè)備由于誤判斷而 進(jìn)入比較嚴(yán)格的深度防護(hù)狀態(tài)時其他設(shè)備應(yīng)用訪問受限的問題,使其他設(shè)備能夠正常請求 訪問web服務(wù)器中的指定應(yīng)用�����,有效提高了系統(tǒng)性能。
[0030] 本發(fā)明實施例中�,參閱圖1所示,為本發(fā)明實施例中通信系統(tǒng)架構(gòu)示意圖����,該通信 系統(tǒng)包括WAF設(shè)備,web服務(wù)器�����,W及應(yīng)用訪問設(shè)備�;其中���,WAF設(shè)備��,用于為web服務(wù)器提 供防護(hù)���,定期掃描各個web服務(wù)器W進(jìn)行漏洞檢測,當(dāng)檢測到非安全事件時�,對web服務(wù)器 執(zhí)行應(yīng)用訪問受限操作;web服務(wù)器���,用于提供相應(yīng)的網(wǎng)絡(luò)服務(wù)�;應(yīng)用訪問設(shè)備,用于向web 服務(wù)器請求訪問相應(yīng)的應(yīng)用�����。
[0031] 下面結(jié)合附圖對本發(fā)明優(yōu)選的實施方式進(jìn)行詳細(xì)說明��。
[0032] 本發(fā)明實施例中����,參閱圖2所示,WAF設(shè)備進(jìn)行安全事件檢測的過程��,包括:
[0033] 步驟200 ;WAF設(shè)備從本地提取歷史數(shù)據(jù)����。
[0034] 本發(fā)明實施例中,WAF設(shè)備在對web服務(wù)器進(jìn)行安全防護(hù)過程中���,監(jiān)測該web服務(wù) 器在每一個時間點的安全事件值和流量總值��,并獲取該WAF設(shè)備阻斷的事件��,根據(jù)WAF設(shè)備 阻斷的事件對應(yīng)的時間點�����,及該時間點對應(yīng)的安全事件值和流量總值;WAF服務(wù)器將該獲 取的每一個存在異常的時間點及其對應(yīng)的安全事件值和流量總值作為歷史數(shù)據(jù)存儲至本 地數(shù)據(jù)庫中�����。其中����,歷史數(shù)據(jù)為描述web服務(wù)器安全狀態(tài)的數(shù)據(jù)。
[0035] 可選的��,WAF設(shè)備從本地數(shù)據(jù)庫中提取預(yù)設(shè)時長范圍內(nèi)的歷史數(shù)據(jù)�,生成歷史數(shù)據(jù) 集合����,該歷史數(shù)據(jù)集合如{t。,�,(3。1��,TJ}所示��;其中��,t。,為歷史數(shù)據(jù)集合中的任意一時間 點���,為該任意一時間點t時的安全事件值��,T為該任意一時間點t時的流量總值����,i =1�,2,…,n���。較佳的��,該預(yù)設(shè)時長范圍大于等于一個月���。
[0036] 步驟210 ;WAF設(shè)備根據(jù)上述歷史數(shù)據(jù),分別預(yù)測待檢測時間段內(nèi)每一個時間點對 應(yīng)的預(yù)測流量總值��。
[0037] 本發(fā)明實施例中�,WAF設(shè)備預(yù)測待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測流量總 值的過程,具體包括��;針對上述歷史數(shù)據(jù)中包含的每一個時間點,根據(jù)該時間點對應(yīng)的安全 事件值和流量總值����,獲取該時間點對應(yīng)的危險度;其中�,該危險度與上述安全事件值成正 比,且該危險度與上述流量總值成反比�;對上述歷史數(shù)據(jù)中包含的每一個時間點及每一個 時間點對應(yīng)的危險度進(jìn)行曲線擬合,生成第一曲線���;其中�,該第一曲線上的每一個點對應(yīng)至 少一個事件�;根據(jù)生成的第一曲線走勢,預(yù)測待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測危 險度����;根據(jù)每一個預(yù)測危險度及其對應(yīng)的時間點,獲取每一個時間點對應(yīng)的預(yù)測流量總值����。 其中��,上述待檢測時間段通常為距離當(dāng)前時刻較為接近的時間段��;且該待檢測時間段內(nèi)的 每一個時間點均為按照預(yù)設(shè)規(guī)則采樣獲得,該預(yù)設(shè)規(guī)則可W為預(yù)設(shè)周期�����,可W為其他規(guī)則�。 [003引可選的,采用如下公式獲取任意一時間點對應(yīng)的危險度: S山
[0039] S心二節(jié) i at
[0040] 可選的���,WAF設(shè)備根據(jù)每一個時間點及其對應(yīng)的危險度���,基于指數(shù)函數(shù)方程進(jìn)行曲 線擬合或者直線函數(shù)方程進(jìn)行曲線擬合,獲取第一曲線���。參閱圖3所示���,該第一曲線W時間 為橫坐標(biāo),危險度為縱坐標(biāo)���,點A即為不符合第一曲線的離群點�����,該點A對應(yīng)的時間點為ti��, 危險度為Si��。
[0041] 可選的�,WAF設(shè)備根據(jù)每一個預(yù)測危險度及其對應(yīng)的時間點,獲取每一個時間點 對應(yīng)的預(yù)測流量總值的過程�����,具體包括�����;針對每一個時間點���,獲取該時間點對應(yīng)的預(yù)測危險 度��,W及該時間點對應(yīng)的安全事件值�,將該安全事件值與該預(yù)測危險度之間的比值確定為 該時間點對應(yīng)的預(yù)測流量總值�。
[00創(chuàng)步驟220 ;針對待檢測時間段內(nèi)的每一個時間點,WAF設(shè)備根據(jù)該時間點對應(yīng)的預(yù) 測流量總值���,W及該時間點對應(yīng)的實際流量總值�,獲取該時間點對應(yīng)的偏離度�。
[0043] 本發(fā)明實施例中,WAF設(shè)備獲取該時間點對應(yīng)的偏離度的過程�����,具體包括���;針對待 檢測時間段內(nèi)的每一個時間點����,均執(zhí)行如下操作�,根據(jù)該時間點對應(yīng)的安全事件值,W及該 時間點對應(yīng)的實際流量總值�����,獲取該時間點對應(yīng)的實際危險度�;根據(jù)該時間點對應(yīng)的實際 危險度,該時間點對應(yīng)的實際流量總值���,該時間點對應(yīng)的預(yù)測危險度��,該時間點對應(yīng)的預(yù)測 流量總值��,獲取該時間點對應(yīng)的偏離度���;其中����,該時間點對應(yīng)的偏離度與該時間點對應(yīng)的預(yù) 測危險度和實際危險度的乘積成正比���。
[0044] 可選的���,上述偏離度可W通過如下公式獲取:
[0045]
【權(quán)利要求】
1. 一種基于流量的安全事件檢測方法�����,其特征在于����,包括: 網(wǎng)站應(yīng)用級入侵訪問系統(tǒng)WAF設(shè)備從本地提取歷史數(shù)據(jù);其中�����,所述歷史數(shù)據(jù)包括時 間點����,所述時間點對應(yīng)的安全事件值��,以及所述時間點對應(yīng)的流量總值; 所述WAF設(shè)備根據(jù)所述歷史數(shù)據(jù)���,分別預(yù)測待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測 流量總值�; 針對所述待檢測時間段內(nèi)的每一個時間點����,所述WAF設(shè)備根據(jù)該時間點對應(yīng)的預(yù)測流 量總值,以及該時間點對應(yīng)的實際流量總值�,獲取該時間點對應(yīng)的偏離度; 所述WAF設(shè)備從所述待檢測時間段內(nèi)選取偏離度不滿足預(yù)設(shè)偏離度劃分范圍的時間 點����,根據(jù)選取的時間點及其對應(yīng)的偏離度和實際流量總和,生成離群點集合�����; 所述WAF設(shè)備根據(jù)所述離群點集合內(nèi)每一個時間點對應(yīng)的偏離度和實際流量總值����,對 所述離群點集合進(jìn)行篩選,獲取所述離群點集合中的誤判定離群點���,確定所述誤判定離群 點對應(yīng)的事件為安全事件�。
2. 如權(quán)利要求1所述的方法,其特征在于���,根據(jù)所述歷史數(shù)據(jù)����,分別預(yù)測待檢測時間段 內(nèi)每一個時間點對應(yīng)的預(yù)測流量總值���,具體包括: 針對所述歷史數(shù)據(jù)中包含的每一個時間點����,根據(jù)該時間點對應(yīng)的安全事件值和流量總 值�,獲取該時間點對應(yīng)的危險度;其中���,所述危險度與所述安全事件值成正比����,且所述危險 度與所述流量總值成反比�����; 對所述歷史數(shù)據(jù)中包含的每一個時間點及所述每一個時間點對應(yīng)的危險度進(jìn)行曲線 擬合,生成第一曲線����; 根據(jù)生成的所述第一曲線,預(yù)測待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù)測危險度�; 根據(jù)所述每一個預(yù)測危險度及其對應(yīng)的時間點����,獲取每一個時間點對應(yīng)的預(yù)測流量總 值。
3. 如權(quán)利要求2所述的方法��,其特征在于����,根據(jù)所述待檢測時間段內(nèi)的時間點對應(yīng)的 預(yù)測流量總值,以及該時間點對應(yīng)的實際流量總值���,獲取該時間點對應(yīng)的偏離度����,具體包 括: 針對所述待檢測時間段內(nèi)的每一個時間點���,均執(zhí)行如下操作: 根據(jù)所述時間點對應(yīng)的安全事件值�����,以及所述時間點對應(yīng)的實際流量總值��,獲取所述 時間點對應(yīng)的實際危險度��; 根據(jù)所述時間點對應(yīng)的實際危險度�����,所述時間點對應(yīng)的實際流量總值�����,所述時間點對 應(yīng)的預(yù)測危險度����,所述時間點對應(yīng)的預(yù)測流量總值,獲取所述時間點對應(yīng)的偏離度����;其中, 所述時間點對應(yīng)的偏離度與所述時間點對應(yīng)的預(yù)測危險度和實際危險度的乘積成正比���。
4. 如權(quán)利要求3所述的方法�����,其特征在于�,根據(jù)所述離群點集合內(nèi)每一個時間點對應(yīng) 的偏離度和實際流量總值,對所述離群點集合進(jìn)行篩選�,獲取所述離群點集合中的誤判定 離群點,具體包括: 根據(jù)所述離群點集合中每一個時間點對應(yīng)的偏離度�,以及預(yù)設(shè)偏離度劃分范圍,對所 述離群點集合進(jìn)行劃分���,生成至少一個第一子集合; 針對每一個第一子集合����,根據(jù)該第一子集合中每一個時間點對應(yīng)的實際流量總值,以 及預(yù)設(shè)流量總值劃分范圍��,對該第一子集合進(jìn)行劃分�,生成至少一個第二子集合; 針對每一個第二子集合��,分別獲取每相鄰兩個時間點對應(yīng)的相對危險度���; 根據(jù)所述每相鄰兩個時間點之間的時間間隔���,以及所述每一個時間間隔對應(yīng)的相對危 險度���,采用直線函數(shù)方程進(jìn)行曲線擬合,生成第二曲線�����; 獲取所述第二曲線中斜率滿足預(yù)設(shè)斜率范圍的時間間隔���;并 將所述滿足預(yù)設(shè)斜率范圍的時間間隔對應(yīng)的時間點確定為誤判定離群點�����。
5. 如權(quán)利要求4所述的方法��,其特征在于�����,分別獲取每相鄰兩個時間點對應(yīng)的相對危 險度�,具體包括: 按照時間先后順序��,對所述第二子集合中所有時間點進(jìn)行排序; 針對排序后的第二子集合���,獲取每相鄰兩個時間點分別對應(yīng)的安全事件值之差���,以及 所述每相鄰兩個時間點分別對應(yīng)的實際危險度之差; 將所述每相鄰兩個時間點對應(yīng)的安全事件值之差以及實際危險度之差的比值����,確定為 所述每相鄰兩個時間點對應(yīng)的相對危險度。
6. 如權(quán)利要求1-5任一項所述的方法����,其特征在于,獲取該時間點對應(yīng)的偏離度之后�����, 進(jìn)一步包括:選取偏離度滿足預(yù)設(shè)偏離度劃分范圍的時間點及其對應(yīng)的偏離度和實際流量 總和�,生成安全點集合�; 獲取所述離群點集合中的誤判定離群點之后,進(jìn)一步包括: 將所述誤判定離群點從所述離群點集合中剔除����,并確定剔除誤判定離群點后的離群點 集合中包含的所有時間點對應(yīng)的點為離群點;以及 將所述誤判定離群點添加至所述安全點集合中,對所述安全點集合進(jìn)行修正����;根據(jù)修 正后的所述安全點集合,進(jìn)行曲線擬合����,生成第三曲線。
7. -種基于流量的安全事件檢測裝置���,其特征在于����,包括: 提取單元��,用于從本地提取歷史數(shù)據(jù)��;其中���,所述歷史數(shù)據(jù)包括時間點���,所述時間點對 應(yīng)的安全事件值,以及所述時間點對應(yīng)的流量總值���; 預(yù)測單元����,用于根據(jù)所述歷史數(shù)據(jù),分別預(yù)測待檢測時間段內(nèi)每一個時間點對應(yīng)的預(yù) 測流量總值��; 獲取單元��,用于針對所述待檢測時間段內(nèi)的每一個時間點�����,根據(jù)該時間點對應(yīng)的預(yù)測 流量總值�,以及該時間點對應(yīng)的實際流量總值,獲取該時間點對應(yīng)的偏離度�����; 生成單元�����,用于從所述待檢測時間段內(nèi)選取偏離度不滿足預(yù)設(shè)偏離度劃分范圍的時間 點�����,根據(jù)選取的時間點及其對應(yīng)的偏離度和實際流量總和���,生成離群點集合�����; 確定單元����,根據(jù)所述離群點集合內(nèi)每一個時間點對應(yīng)的偏離度和實際流量總值�,對所 述離群點集合進(jìn)行篩選,獲取所述離群點集合中的誤判定離群點�����,確定所述誤判定離群點 對應(yīng)的事件為安全事件����。
8. 如權(quán)利要求7所述的裝置,其特征在于����,所述預(yù)測單元,具體用于: 針對所述歷史數(shù)據(jù)中包含的每一個時間點���,根據(jù)該時間點對應(yīng)的安全事件值和流量總 值����,獲取該時間點對應(yīng)的危險度;其中����,所述危險度與所述安全事件值成正比,且所述危險 度與所述流量總值成反比��;對所述歷史數(shù)據(jù)中包含的每一個時間點及所述每一個時間點對 應(yīng)的危險度進(jìn)行曲線擬合��,生成第一曲線����;根據(jù)生成的所述第一曲線����,預(yù)測待檢測時間段內(nèi) 每一個時間點對應(yīng)的預(yù)測危險度�;根據(jù)所述每一個預(yù)測危險度及其對應(yīng)的時間點,獲取每 一個時間點對應(yīng)的預(yù)測流量總值���。
9. 如權(quán)利要求8所述的裝置,其特征在于,所述獲取單元��,具體用于: 針對所述待檢測時間段內(nèi)的每一個時間點��,均執(zhí)行如下操作:根據(jù)所述時間點對應(yīng)的 安全事件值���,以及所述時間點對應(yīng)的實際流量總值��,獲取所述時間點對應(yīng)的實際危險度�����;根 據(jù)所述時間點對應(yīng)的實際危險度,所述時間點對應(yīng)的實際流量總值����,所述時間點對應(yīng)的預(yù) 測危險度����,所述時間點對應(yīng)的預(yù)測流量總值����,獲取所述時間點對應(yīng)的偏離度;其中���,所述時 間點對應(yīng)的偏離度與所述時間點對應(yīng)的預(yù)測危險度和實際危險度的乘積成正比����。
10. 如權(quán)利要求9所述的裝置,其特征在于�,所述確定單元,具體用于: 根據(jù)所述離群點集合中每一個時間點對應(yīng)的偏離度�����,以及預(yù)設(shè)偏離度劃分范圍��,對所 述離群點集合進(jìn)行劃分���,生成至少一個第一子集合;針對每一個第一子集合��,根據(jù)該第一子 集合中每一個時間點對應(yīng)的實際流量總值��,以及預(yù)設(shè)流量總值劃分范圍�����,對該第一子集合 進(jìn)行劃分,生成至少一個第二子集合;針對每一個第二子集合�,分別獲取每相鄰兩個時間點 對應(yīng)的相對危險度�����;根據(jù)所述每相鄰兩個時間點之間的時間間隔,以及所述每一個時間間 隔對應(yīng)的相對危險度�����,采用直線函數(shù)方程進(jìn)行曲線擬合,生成第二曲線����;獲取所述第二曲線 中斜率滿足預(yù)設(shè)斜率范圍的時間間隔����;并將所述滿足預(yù)設(shè)斜率范圍的時間間隔對應(yīng)的時間 點確定為誤判定離群點����。
11. 如權(quán)利要求10所述的裝置,其特征在于�����,所述確定單元�,具體用于: 按照時間先后順序�,對所述第二子集合中所有時間點進(jìn)行排序����;針對排序后的第二子 集合����,獲取每相鄰兩個時間點分別對應(yīng)的安全事件值之差����,以及所述每相鄰兩個時間點分 別對應(yīng)的實際危險度之差;將所述每相鄰兩個時間點對應(yīng)的安全事件值之差以及實際危險 度之差的比值���,確定為所述每相鄰兩個時間點對應(yīng)的相對危險度�����。
12. 如權(quán)利要求7-11任一項所述的裝置���,其特征在于���,還包括處理單元,用于: 獲取該時間點對應(yīng)的偏離度之后,選取偏離度滿足預(yù)設(shè)偏離度劃分范圍的時間點及其 對應(yīng)的偏離度和實際流量總和�����,生成安全點集合�;獲取所述離群點集合中的誤判定離群點 之后����,將所述誤判定離群點從所述離群點集合中剔除,并確定剔除誤判定離群點后的離群 點集合中包含的所有時間點對應(yīng)的點為離群點����;以及將所述誤判定離群點添加至所述安全 點集合中��,對所述安全點集合進(jìn)行修正�����;根據(jù)修正后的所述安全點集合���,進(jìn)行曲線擬合,生 成第三曲線��。
【文檔編號】H04L29/06GK104486353SQ201410835119
【公開日】2015年4月1日 申請日期:2014年12月26日 優(yōu)先權(quán)日:2014年12月26日
【發(fā)明者】張俊鋒, 劉嘉奇, 夏蘭 申請人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司