CN102868685A - 一种判定自动扫描行为的方法及装置 - Google Patents
一种判定自动扫描行为的方法及装置 Download PDFInfo
- Publication number
- CN102868685A CN102868685A CN2012103134583A CN201210313458A CN102868685A CN 102868685 A CN102868685 A CN 102868685A CN 2012103134583 A CN2012103134583 A CN 2012103134583A CN 201210313458 A CN201210313458 A CN 201210313458A CN 102868685 A CN102868685 A CN 102868685A
- Authority
- CN
- China
- Prior art keywords
- confidence values
- statistics
- sigma
- transmitting terminal
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000004044 response Effects 0.000 claims abstract description 131
- 238000011156 evaluation Methods 0.000 abstract 2
- 230000006399 behavior Effects 0.000 description 39
- 238000005516 engineering process Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000000052 comparative effect Effects 0.000 description 2
- 230000013011 mating Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/28—Timers or timing mechanisms used in protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种判定自动扫描行为的方法及装置,该方法包括:在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息;将设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,确定选定发送端的请求可信值;统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,确定选定发送端的响应可信值;根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在设定周期内选定发送端的综合评估值;将综合评估值与第一设定阈值进行比较,判定选定发送端是否发生了自动扫描行为。该方案相对于现有技术适用性和准确性更高。
Description
技术领域
本发明涉及网络安全技术领域,尤指一种判定自动扫描行为的方法及装置。
背景技术
随着互联网技术的发展,网站的信息量呈现出爆炸性增长趋势,基于网站产生自动扫描行为的工具也越来越多,如搜索引擎、下载工具、扫描器等等,这些工具的自动扫描行为并不是用户产生的,而是工具自身为了对网站信息进行分析而自动产生的,这些工具的自动扫描行为会占用很多网络资源,从而影响用户正常的访问。因此,判定这些自动扫描行为,并进行阻断是非常必要的。
现有的判定自动扫描行为的方法主要有以下两种:第一种是根据产生自动扫描行为的工具的特征信息,建立判定自动扫描行为的特征信息库,在接收到访问请求后,将访问请求中的特征信息与特征信息库中的特征信息进行匹配,来判定是否有自动扫描行为,这种方法适用性很差,只能判定已知特征信息的工具的自动扫描行为,对于未知的特征信息则无能为力;第二种是根据网络安全设备的告警频率判定,当高于某一告警频率,判定为自动扫描行为,这种判定方法过于简单,准确性较差。
综上所述,现有的判定自动扫描行为的方法,适用性和准确性较差。
发明内容
本发明实施例提供一种判定自动扫描行为的方法及装置,用以解决现有的判定自动扫描行为的方法,适用性和准确性较差的问题。
一种判定自动扫描行为的方法,包括:
在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息;
将所述设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,根据统计的每个设定子周期内访问请求消息的个数,确定所述选定发送端的请求可信值;以及
统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,根据统计的成功响应消息的个数和失败响应消息的个数,确定所述选定发送端的响应可信值;
获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在所述设定周期内所述选定发送端的综合评估值;
将所述综合评估值与第一设定阈值进行比较,判定所述选定发送端是否发生了自动扫描行为。
一种判定自动扫描行为的装置,包括:
消息采集单元,用于在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息;
可信值确定单元,用于将所述设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,根据统计的每个设定子周期内访问请求消息的个数,确定所述选定发送端的请求可信值;以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,根据统计的成功响应消息的个数和失败响应消息的个数,确定所述选定发送端的响应可信值;
评估值确定单元,用于获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在所述设定周期内所述选定发送端的综合评估值;
判定单元,用于将所述综合评估值与第一设定阈值进行比较,判定所述选定发送端是否发生了自动扫描行为。
本发明有益效果如下:
本发明实施例提供的判定自动扫描行为的方法及装置,通过在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息;将所述设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,根据统计的每个设定子周期内访问请求消息的个数,确定所述选定发送端的请求可信值;以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,根据统计的成功响应消息的个数和失败响应消息的个数,确定所述选定发送端的响应可信值;获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在所述设定周期内所述选定发送端的综合评估值;将所述综合评估值与第一设定阈值进行比较,判定所述选定发送端是否发生了自动扫描行为。该方案依赖于采集的选定发送端发送的访问请求消息和网站服务器返回的访问响应消息来一步一步确定出选定发送端的综合评估值,然后根据综合评估值与第一设定阈值的比较结果,来判定选定发送端是否发生了自动扫描行为,该方案针对每个选定发送端都可以采集访问请求消息和访问响应消息进行判定,相比现有技术依赖于与已知的数据库信息匹配的结果进行判定,适应性更高;该方案需要根据采集的访问请求消息确定选定发送端的请求可信值,以及根据采集的响应消息确定选定发送端的响应可信值,然后根据请求可信值和响应可信值确定出选定发送端的综合评估值,由于综合考虑了选定发送端的请求可信值和响应可信值,相对于现有技术仅仅依赖与网络安全设备的告警频率来判定,准确性更高。
附图说明
图1为本发明实施例中判定自动扫描行为的方法的流程图;
图2为本发明实施例中确定选定发送端的请求可信值的方法流程图;
图3为本发明实施例中判定自动扫描行为的装置的结构示意图。
具体实施方式
针对现有的判定自动扫描行为的方法,适用性和准确性较差的问题,本发明实施例提供的判定自动扫描行为的方法,该方法的流程如图1所示,执行步骤如下:
S10:在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息。
可以依据实际需要选定一段时间作为设定周期,现在有很多网站服务器,可以选定一个或多个网站服务器作为选定网站服务器,针对某个选定网站服务器,又会有很多发送端来访问,可以选取全部或部分发送端作为选定发送端。
针对某个选定发送端,在设定周期内,可以采集其向选定网站服务器发送的访问请求消息和选定网站返回的访问响应消息,也就是采集选定服务器接收到的携带选定发送端的互联网协议(Internet Protocol,IP)地址作为源IP地址的访问请求消息,和选定服务器发送的携带选定发送端的IP地址作为目的IP地址的访问响应消息。
S11:将设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,根据统计的每个设定子周期内访问请求消息的个数,确定选定发送端的请求可信值。
将设定周期等分为至少两个设定子周期,若设定周期为T,设定子周期为t,那么T=nt,其中n为设定子周期的个数。若统计到的第一个设定子周期t1内采集的访问请求消息的个数为y1,第二个设定子周期t2内采集的访问请求消息的个数为y2,……,第n个定子周期tn内采集的访问请求消息的个数为yn,可以根据y1、y2、……、yn确定选定发送端的请求可信值。
S12:统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,根据统计的成功响应消息的个数和失败响应消息的个数,确定选定发送端的响应可信值。
选定网站服务器对于选定发送端的访问请求消息的访问响应消息可以分为两类,一类是成功响应消息,一类是失败响应消息,可以根据统计的成功响应消息的个数和失败响应消息的个数,确定选定发送端的响应可信值。
S12与S11没有先后顺序,可先执行S11再执行S12,也可以先执行S12再执行S11,当然也可以同时执行S11和S12。
S13:获取与请求可信值对应的第一权重和与响应可信值对应的第二权重,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在设定周期内选定发送端的综合评估值。
第一权重和第二权重可以根据实际的需要设定。
S14:将综合评估值与第一设定阈值进行比较,判定选定发送端是否发生了自动扫描行为。
该方案依赖于采集的选定发送端发送的访问请求消息和网站服务器返回的访问响应消息来一步一步确定出选定发送端的综合评估值,然后根据综合评估值与第一设定阈值的比较结果,来判定选定发送端是否发生了自动扫描行为,该方案针对每个选定发送端都可以采集访问请求消息和访问响应消息进行判定,相比现有技术依赖于与已知的数据库信息匹配的结果进行判定,适应性更高;该方案需要根据采集的访问请求消息确定选定发送端的请求可信值,以及根据采集的响应消息确定选定发送端的响应可信值,然后根据请求可信值和响应可信值确定出选定发送端的综合评估值,由于综合考虑了选定发送端的请求可信值和响应可信值,相对于现有技术仅仅依赖与网络安全设备的告警频率来判定,准确性更高。
具体的,上述S11中的根据统计的每个设定子周期内访问请求消息的个数,确定选定发送端的请求可信值,如图2所示,具体包括:
S111:记录统计的每个设定子周期内访问请求消息的个数,得到统计数据序列。
记录统计的每个设定子周期内的访问请求消息的个数,那么得到的统计数据序列Yi=(y1,y2,……,yn),其中,n表示设定子周期的个数,也就是统计数据序列Yi中元素的个数。
S112:获取统计数据序列中最大值,判断获取的最大值是否不小于第二设定阈值,若是,执行S113;否则,执行S114。
S113:将获取的最大值与第二设定阈值的比值作为请求可信值。
假设第二设定阈值为Ymax,ymax为Yi中最大值,若ymax大于Ymax,将ymax与Ymax的比值作为请求可信值Q。
S114:计算统计数据序列的误差比,判断误差比是否小于第三设定阈值,若是,执行S115;否则,执行S116。
若ymax不小于Ymax,需要继续计算统计数据序列Yi的误差比K。其中,K越大,说明统计数据序列中的数据越离散,比较符合人发起访问请求消息的情况;K越小,说明统计数据序列中的数据越集中,比较符合选定发送端存在自动扫描行为的情况。
S115:将误差比作为请求可信值。
若误差比K小于第三设定阈值,那么误差比K为请求可信值Q。
S116:分别计算统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率;将第一斜率的绝对值和第二斜率的绝对值的平均值作为请求可信值。
若误差比K不小于第三设定阈值,也就是说统计数据序列中的数据非常离散,无法确定出请求可信值Q,那么在统计数据序列中选定前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率,假设可以选取统计数据序列Yi中的前5个元素和后5个元素,就可以计算前5个元素的斜率k1,和后5个元素的斜率k2,将k1和k2的绝对值的平均值作为请求可信值Q。
具体的,上述S114中的计算统计数据序列的误差比,具体包括:计算统计数据序列的标准差和平均值;将统计数据序列的标准差与平均值的比值作为统计数据序列的误差比。
具体的,上述计算统计数据序列的标准差和平均值,具体包括:通过下述公式计算统计数据序列Yi的标准差σ:通过下述公式计算统计数据序列Yi的平均值 其中,yi表示统计数据序列Yi中的第i个元素,i=0,1,…n-1,n表示统计数据序列Yi中元素的总个数。
具体的,上述S116中的计算统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率,具体包括:通过下述公式计算统计数据序列Yi前第一设定个数元素的第一斜率k1:通过下述公式计算统计数据序列Yi后第二设定个数元素的第二斜率k2:其中,yi表示统计数据序列Yi中的第i个元素;i=0,1,…n1,…,n-n2,…n;n1为第一设定个数,n2为第二设定个数,n为统计数据序列Yi中元素的总个数。
具体的,上述S11中的根据统计的成功响应消息的个数和失败响应消息的个数,确定选定发送端的响应可信值,具体包括:将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值,将第一比值作为响应可信值;或者,将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值,获取1与第二比值的差值,作为响应可信值。
具体的,上述S12中的根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在设定周期内选定发送端的综合评估值,具体包括:将第一权重与请求可信值相乘得到第一乘积,以及将第二权重与响应可信值相乘得到第二乘积;将第一乘积与第二乘积的和值作为综合评估值。
第一权重和第二权重可以根据实际的需要设定。假设第一权重设为α1,第二权重设为α2,那么综合评估值为α1Q+α2A。
具体的,上述S13中的将综合评估值与第一设定阈值进行比较,判定选定发送端是否发生了自动扫描行为,具体包括:若综合评估值大于第一设定阈值,判定选定发送端发生自动扫描行为;若综合评估值不大于第一设定阈值,判定选定发送端未发生自动扫描行为。
可以根据综合评估值为α1Q+α2A与第一设定阈值的大小来判定选定终端是否发生了自动扫描行为。
针对综合评估值为α1Q+α2A,还有两种特殊情况,第一种:当第一权重α1为0时,响应可信值作为综合评估值,也就是仅仅根据响应可信值来判定选定发送端发生了自动扫描行为;第二种:当第二权重α2为0时,请求可信值作为综合评估值,也就是仅仅根据请求可信值来判定选定发送端发生了自定扫描行为。
基于同一发明构思,本发明实施例提供一种判定自动扫描行为的装置,该装置的结构如图3所示,包括:
消息采集单元30,用于在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息。
可信值确定单元31,用于将设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,根据统计的每个设定子周期内访问请求消息的个数,确定选定发送端的请求可信值;以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,根据统计的成功响应消息的个数和失败响应消息的个数,确定选定发送端的响应可信值。
评估值确定单元32,用于获取与请求可信值对应的第一权重和与响应可信值对应的第二权重,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在设定周期内选定发送端的综合评估值。
判定单元33,用于将综合评估值与第一设定阈值进行比较,判定选定发送端是否发生了自动扫描行为。
具体的,上述可信值确定单元31,具体用于:记录统计的每个设定子周期内访问请求消息的个数,得到统计数据序列;获取统计数据序列中最大值,并将获取的最大值与第二设定阈值进行比较;若获取的最大值不小于第二设定阈值,将获取的最大值与第二设定阈值的比值作为请求可信值;若获取的最大值小于第二设定阈值,计算统计数据序列的误差比,若误差比小于第三设定阈值,将误差比作为请求可信值。
具体的,上述可信值确定单元31,具体用于:计算统计数据序列的标准差和平均值;将统计数据序列的标准差与平均值的比值作为统计数据序列的误差比。
具体的,上述可信值确定单元31,具体用于:通过下述公式计算统计数据序列Yi的标准差σ:通过下述公式计算统计数据序列Yi的平均值 其中,yi表示统计数据序列Yi中的第i个元素,i=0,1,…n-1,n表示统计数据序列Yi中元素的总个数。
具体的,若误差比不小于第三设定阈值,上述可信值确定单元31,还用于:分别计算统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率;将第一斜率的绝对值和第二斜率的绝对值的平均值作为请求可信值。
计算统计数据序列Yi后第二设定个数元素的第二斜率k2:其中,yi表示统计数据序列Yi中的第i个元素;i=0,1,…n1,…,n-n2,…n;n1为第一设定个数,n2为第二设定个数,n为统计数据序列Yi中元素的总个数。
具体的,上述可信值确定单元31,具体用于:将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值,将第一比值作为响应可信值;或者,将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值,获取1与第二比值的差值,作为响应可信值。
具体的,上述,评估值确定单元32,具体用于:将第一权重与请求可信值相乘得到第一乘积,以及将第二权重与响应可信值相乘得到第二乘积;将第一乘积与第二乘积的和值作为综合评估值。
具体的,上述综判定单元33,具体用于:若综合评估值大于第一设定阈值,判定选定发送端发生自动扫描行为;若综合评估值不大于第一设定阈值,判定选定发送端未发生自动扫描行为。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种判定自动扫描行为的方法,其特征在于,包括:
在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息;
将所述设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,根据统计的每个设定子周期内访问请求消息的个数,确定所述选定发送端的请求可信值;以及
统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,根据统计的成功响应消息的个数和失败响应消息的个数,确定所述选定发送端的响应可信值;
获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在所述设定周期内所述选定发送端的综合评估值;
将所述综合评估值与第一设定阈值进行比较,判定所述选定发送端是否发生了自动扫描行为。
2.如权利要求1所述的方法,其特征在于,根据统计的每个设定子周期内访问请求消息的个数,确定所述选定发送端的请求可信值,具体包括:
记录统计的每个设定子周期内访问请求消息的个数,得到统计数据序列;
获取所述统数据计序列中最大值,并将获取的最大值与第二设定阈值进行比较;
若获取的最大值不小于所述第二设定阈值,将获取的最大值与所述第二设定阈值的比值作为所述请求可信值;
若获取的最大值小于所述第二设定阈值,计算所述统计数据序列的误差比,若所述误差比小于第三设定阈值,将所述误差比作为所述请求可信值。
3.如权利要求2所述的方法,其特征在于,计算所述统计数据序列的误差比,具体包括:
计算所述统计数据序列的标准差和平均值;
将所述统计数据序列的标准差与平均值的比值作为所述统计数据序列的误差比。
5.如权利要求2所述的方法,其特征在于,若所述误差比不小于第三设定阈值,还包括:
分别计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率;
将所述第一斜率的绝对值和所述第二斜率的绝对值的平均值作为所述请求可信值。
6.如权利要求5所述的方法,其特征在于,计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率,具体包括:
通过下述公式计算所述统计数据序列Yi前第一设定个数元素的第一斜率k1:
通过下述公式计算所述统计数据序列Yi后第二设定个数元素的第二斜率k2:
其中,yi表示统计数据序列Yi中的第i个元素;i=0,1,…n1,…,n-n2,…n;n1为第一设定个数,n2为第二设定个数,n为统计数据序列Yi中元素的总个数。
7.如权利要求1所述的方法,其特征在于,根据统计的成功响应消息的个数和失败响应消息的个数,确定所述选定发送端的响应可信值,具体包括:
将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值,将所述第一比值作为所述响应可信值;或者
将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值,获取1与所述第二比值的差值,作为所述响应可信值。
8.如权利要求1所述的方法,其特征在于,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在所述设定周期内所述选定发送端的综合评估值,具体包括:
将所述第一权重与所述请求可信值相乘得到第一乘积,以及将所述第二权重与所述响应可信值相乘得到第二乘积;
将所述第一乘积与所述第二乘积的和值作为所述综合评估值。
9.如权利要求1所述的方法,其特征在于,将所述综合评估值与第一设定阈值进行比较,判定所述选定发送端是否发生了自动扫描行为,具体包括:
若所述综合评估值大于所述第一设定阈值,判定所述选定发送端发生自动扫描行为;
若所述综合评估值不大于所述第一设定阈值,判定所述选定发送端未发生自动扫描行为。
10.一种判定自动扫描行为的装置,其特征在于,包括:
消息采集单元,用于在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息;
可信值确定单元,用于将所述设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,根据统计的每个设定子周期内访问请求消息的个数,确定所述选定发送端的请求可信值;以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,根据统计的成功响应消息的个数和失败响应消息的个数,确定所述选定发送端的响应可信值;
评估值确定单元,用于获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重,根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在所述设定周期内所述选定发送端的综合评估值;
判定单元,用于将所述综合评估值与第一设定阈值进行比较,判定所述选定发送端是否发生了自动扫描行为。
11.如权利要求10所述的装置,其特征在于,所述可信值确定单元,具体用于:
记录统计的每个设定子周期内访问请求消息的个数,得到统计数据序列;
获取所述统计数据序列中最大值,并将获取的最大值与第二设定阈值进行比较;
若获取的最大值不小于所述第二设定阈值,将获取的最大值与所述第二设定阈值的比值作为所述请求可信值;
若获取的最大值小于所述第二设定阈值,计算所述统计数据序列的误差比,若所述误差比小于第三设定阈值,将所述误差比作为所述请求可信值。
12.如权利要求11所述的装置,其特征在于,所述可信值确定单元,具体用于:
计算所述统计数据序列的标准差和平均值;
将所述统计数据序列的标准差与平均值的比值作为所述统计数据序列的误差比。
13.如权利要求12所述的装置,其特征在于,所述可信值确定单元,具体用于:
通过下述公式计算所述统计数据序列Yi的标准差σ:
通过下述公式计算所述统计数据序列Yi的平均值
其中,yi表示统计数据序列Yi中的第i个元素,i=0,1,…n-1,n表示统计数据序列Yi中元素的总个数。
14.如权利要求11所述的装置,其特征在于,若所述误差比不小于第三设定阈值,所述可信值确定单元,还用于:
分别计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率;
将所述第一斜率的绝对值和所述第二斜率的绝对值的平均值作为所述请求可信值。
15.如权利要求14所述的装置,其特征在于,所述可信值确定单元,具体用于:
通过下述公式计算所述统计数据序列Yi前第一设定个数元素的第一斜率k1:
通过下述公式计算所述统计数据序列Yi后第二设定个数元素的第二斜率k2:
其中,yi表示统计数据序列Yi中的第i个元素;i=0,1,…n1,…,n-n2,…n;n1为第一设定个数,n2为第二设定个数,n为统计数据序列Yi中元素的总个数。
16.如权利要求10所述的装置,其特征在于,所述可信值确定单元,具体用于:
将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值,将所述第一比值作为所述响应可信值;或者
将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值,获取1与所述第二比值的差值,作为所述响应可信值。
17.如权利要求10所述的装置,其特征在于,所述评估值确定单元,具体用于:
将所述第一权重与所述请求可信值相乘得到第一乘积,以及将所述第二权重与所述响应可信值相乘得到第二乘积;
将所述第一乘积与所述第二乘积的和值作为所述综合评估值。
18.如权利要求10所述的装置,其特征在于,所述综判定单元,具体用于:
若所述综合评估值大于所述第一设定阈值,判定所述选定发送端发生自动扫描行为;
若所述综合评估值不大于所述第一设定阈值,判定所述选定发送端未发生自动扫描行为。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210313458.3A CN102868685B (zh) | 2012-08-29 | 2012-08-29 | 一种判定自动扫描行为的方法及装置 |
PCT/CN2013/082556 WO2014032600A1 (zh) | 2012-08-29 | 2013-08-29 | 一种判定自动扫描行为的方法及装置 |
JP2015528862A JP5981036B2 (ja) | 2012-08-29 | 2013-08-29 | 自動的なスキャン行為の判断方法及び装置 |
US14/424,986 US10057155B2 (en) | 2012-08-29 | 2013-08-29 | Method and apparatus for determining automatic scanning action |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210313458.3A CN102868685B (zh) | 2012-08-29 | 2012-08-29 | 一种判定自动扫描行为的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102868685A true CN102868685A (zh) | 2013-01-09 |
CN102868685B CN102868685B (zh) | 2015-04-15 |
Family
ID=47447276
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210313458.3A Expired - Fee Related CN102868685B (zh) | 2012-08-29 | 2012-08-29 | 一种判定自动扫描行为的方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10057155B2 (zh) |
JP (1) | JP5981036B2 (zh) |
CN (1) | CN102868685B (zh) |
WO (1) | WO2014032600A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014032600A1 (zh) * | 2012-08-29 | 2014-03-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种判定自动扫描行为的方法及装置 |
CN108259473A (zh) * | 2017-12-29 | 2018-07-06 | 西安交大捷普网络科技有限公司 | Web服务器扫描防护方法 |
CN108900486A (zh) * | 2018-06-19 | 2018-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016177324A (ja) * | 2015-03-18 | 2016-10-06 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
US9674201B1 (en) * | 2015-12-29 | 2017-06-06 | Imperva, Inc. | Unobtrusive protection for large-scale data breaches utilizing user-specific data object access budgets |
US9674202B1 (en) | 2015-12-29 | 2017-06-06 | Imperva, Inc. | Techniques for preventing large-scale data breaches utilizing differentiated protection layers |
CN111866827B (zh) * | 2019-12-31 | 2024-04-12 | 北京骑胜科技有限公司 | 蓝牙设备状态检测方法、装置、电子设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN101707539A (zh) * | 2009-11-26 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 蠕虫病毒检测方法、装置和网关设备 |
CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
US20110197282A1 (en) * | 2005-12-29 | 2011-08-11 | Kenichi Futamura | Method and apparatus for detecting scans in real-time |
Family Cites Families (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4501280B2 (ja) * | 1998-12-09 | 2010-07-14 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
US10641861B2 (en) * | 2000-06-02 | 2020-05-05 | Dennis J. Dupray | Services and applications for a communications network |
US20110213869A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
DK1500206T3 (da) * | 2002-04-19 | 2012-10-22 | Google Inc | System og fremgangsmåde til styring af trådløse apparater i en virksomhed |
EP1695229A4 (en) * | 2003-11-18 | 2007-05-09 | Robert M Ii Burke | SYSTEM FOR REGULATING ACCESS TO AND DISTRIBUTING CONTENT IN A NETWORK |
JP2006013737A (ja) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | 異常トラヒック除去装置 |
JP2007288246A (ja) * | 2006-04-12 | 2007-11-01 | Yokogawa Electric Corp | 攻撃検出装置 |
US20070248058A1 (en) * | 2006-04-20 | 2007-10-25 | Victor Fajardo | Fast link-down detection systems and methods |
US8510467B2 (en) * | 2007-01-11 | 2013-08-13 | Ept Innovation | Monitoring a message associated with an action |
US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
US8205244B2 (en) * | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
US7808959B2 (en) * | 2007-03-15 | 2010-10-05 | Alpha Networks Inc. | Topology system of wireless network with dynamic balance |
WO2008148106A1 (en) * | 2007-05-25 | 2008-12-04 | New Jersey Institute Of Technology | Proactive test-based differentiation method and system to mitigate low rate dos attacks |
US7979598B1 (en) * | 2007-10-10 | 2011-07-12 | Juniper Networks, Inc. | Wake-ahead based on patterns |
WO2009052039A1 (en) * | 2007-10-16 | 2009-04-23 | University Of Florida Research Foundation, Inc. | Efficient intrusion detection |
US20090172149A1 (en) * | 2007-12-28 | 2009-07-02 | International Business Machines Corporation | Real-time information technology environments |
US20090171703A1 (en) * | 2007-12-28 | 2009-07-02 | International Business Machines Corporation | Use of multi-level state assessment in computer business environments |
US8634796B2 (en) * | 2008-03-14 | 2014-01-21 | William J. Johnson | System and method for location based exchanges of data facilitating distributed location applications |
US8229812B2 (en) * | 2009-01-28 | 2012-07-24 | Headwater Partners I, Llc | Open transaction central billing system |
US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US8914783B2 (en) * | 2008-11-25 | 2014-12-16 | Fisher-Rosemount Systems, Inc. | Software deployment manager integration within a process control system |
US8938530B2 (en) * | 2009-02-04 | 2015-01-20 | Hewlett-Packard Development Company, L.P. | Method and system for identifying dynamic content in hypertext transfer protocol (HTTP) responses |
US20100205297A1 (en) * | 2009-02-11 | 2010-08-12 | Gurusamy Sarathy | Systems and methods for dynamic detection of anonymizing proxies |
EP2222048A1 (en) * | 2009-02-24 | 2010-08-25 | BRITISH TELECOMMUNICATIONS public limited company | Detecting malicious behaviour on a computer network |
JP2010218462A (ja) * | 2009-03-18 | 2010-09-30 | Ricoh Co Ltd | 情報処理装置、情報処理方法およびプログラム |
US9282575B2 (en) * | 2009-03-18 | 2016-03-08 | Intel Corporation | Reducing access channel delay in a wireless communication system |
CN101540676B (zh) * | 2009-04-28 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法 |
US8205035B2 (en) * | 2009-06-22 | 2012-06-19 | Citrix Systems, Inc. | Systems and methods for integration between application firewall and caching |
US8607340B2 (en) * | 2009-07-21 | 2013-12-10 | Sophos Limited | Host intrusion prevention system using software and user behavior analysis |
US8776218B2 (en) * | 2009-07-21 | 2014-07-08 | Sophos Limited | Behavioral-based host intrusion prevention system |
JP4820437B2 (ja) * | 2009-07-29 | 2011-11-24 | シャープ株式会社 | 情報処理装置 |
US7890627B1 (en) * | 2009-09-02 | 2011-02-15 | Sophos Plc | Hierarchical statistical model of internet reputation |
US8254967B1 (en) * | 2009-09-25 | 2012-08-28 | Sprint Spectrum L.P. | Method and apparatus for differentiated paging channel selection |
US8830866B2 (en) * | 2009-09-30 | 2014-09-09 | Apple Inc. | Methods and apparatus for solicited activation for protected wireless networking |
JP5683474B2 (ja) * | 2009-10-02 | 2015-03-11 | 三菱電機株式会社 | 移動体通信システム |
US9094210B2 (en) * | 2009-10-26 | 2015-07-28 | Citrix Systems, Inc. | Systems and methods to secure a virtual appliance |
US20110113491A1 (en) * | 2009-11-12 | 2011-05-12 | Deutsche Telekom Ag | Collaborative system for protecting against the propagation of malwares in a network |
US8776226B2 (en) * | 2010-01-26 | 2014-07-08 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting SSH login attacks |
US8931088B2 (en) * | 2010-03-26 | 2015-01-06 | Alcatel Lucent | Adaptive distinct counting for network-traffic monitoring and other applications |
US20110247074A1 (en) * | 2010-03-30 | 2011-10-06 | Manring Bradley A C | Metadata-based access, security, and compliance control of software generated files |
US9369437B2 (en) * | 2010-04-01 | 2016-06-14 | Cloudflare, Inc. | Internet-based proxy service to modify internet responses |
US8713676B2 (en) * | 2010-05-13 | 2014-04-29 | Verisign, Inc. | Systems and methods for identifying malicious domains using internet-wide DNS lookup patterns |
US20110283358A1 (en) * | 2010-05-17 | 2011-11-17 | Mcafee, Inc. | Method and system to detect malware that removes anti-virus file system filter driver from a device stack |
EP2619958B1 (en) * | 2010-09-24 | 2018-02-21 | Verisign, Inc. | Ip prioritization and scoring method and system for ddos detection and mitigation |
CN101980576B (zh) * | 2010-10-19 | 2013-08-28 | 华为技术有限公司 | 随机接入处理方法和用户设备 |
CN102075511B (zh) * | 2010-11-01 | 2014-05-14 | 北京神州绿盟信息安全科技股份有限公司 | 一种数据匹配设备和方法以及网络入侵检测设备和方法 |
US8832839B2 (en) * | 2011-01-04 | 2014-09-09 | Siemens Aktiengesellschaft | Assessing system performance impact of security attacks |
US8595839B2 (en) * | 2011-01-21 | 2013-11-26 | International Business Machines Corporation | Selecting one of a plurality of scanner nodes to perform scan operations for an interface node receiving a file request |
US8800045B2 (en) * | 2011-02-11 | 2014-08-05 | Achilles Guard, Inc. | Security countermeasure management platform |
EP2676399A4 (en) * | 2011-02-14 | 2016-02-17 | Devicescape Software Inc | SYSTEMS AND METHODS FOR NETWORK CARE |
EP2676402A4 (en) * | 2011-02-17 | 2015-06-03 | Sable Networks Inc | METHOD AND SYSTEMS FOR DETECTING AND WEAKENING A DISTRIBUTED HIGH FREQUENCY DENIAL OF SERVICE (DDOS) ATTACK |
CN102868685B (zh) | 2012-08-29 | 2015-04-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种判定自动扫描行为的方法及装置 |
-
2012
- 2012-08-29 CN CN201210313458.3A patent/CN102868685B/zh not_active Expired - Fee Related
-
2013
- 2013-08-29 US US14/424,986 patent/US10057155B2/en active Active
- 2013-08-29 JP JP2015528862A patent/JP5981036B2/ja active Active
- 2013-08-29 WO PCT/CN2013/082556 patent/WO2014032600A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110197282A1 (en) * | 2005-12-29 | 2011-08-11 | Kenichi Futamura | Method and apparatus for detecting scans in real-time |
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN101707539A (zh) * | 2009-11-26 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 蠕虫病毒检测方法、装置和网关设备 |
CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014032600A1 (zh) * | 2012-08-29 | 2014-03-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种判定自动扫描行为的方法及装置 |
US10057155B2 (en) | 2012-08-29 | 2018-08-21 | NSFOCUS Information Technology Co., Ltd. | Method and apparatus for determining automatic scanning action |
CN108259473A (zh) * | 2017-12-29 | 2018-07-06 | 西安交大捷普网络科技有限公司 | Web服务器扫描防护方法 |
CN108900486A (zh) * | 2018-06-19 | 2018-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
CN108900486B (zh) * | 2018-06-19 | 2020-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
JP5981036B2 (ja) | 2016-08-31 |
US10057155B2 (en) | 2018-08-21 |
JP2015532048A (ja) | 2015-11-05 |
CN102868685B (zh) | 2015-04-15 |
US20150249589A1 (en) | 2015-09-03 |
WO2014032600A1 (zh) | 2014-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102868685B (zh) | 一种判定自动扫描行为的方法及装置 | |
CN110532168B (zh) | 全链路接口压测方法、装置、计算机设备及存储介质 | |
US9864855B2 (en) | Verification data processing method and device and storage medium | |
CN102737019A (zh) | 机器行为确定方法、网页浏览器及网页服务器 | |
US20100095215A1 (en) | System and method for analyzing internet usage | |
CN104917739A (zh) | 虚假账号的识别方法及装置 | |
JP6520513B2 (ja) | 問答情報提供システム、情報処理装置及びプログラム | |
CN109376534B (zh) | 用于检测应用的方法和装置 | |
CN104980446A (zh) | 一种恶意行为的检测方法及系统 | |
CN108366012B (zh) | 一种社交关系建立方法、装置及电子设备 | |
CN112491654B (zh) | 一种性能测试方法、装置、电子设备及存储介质 | |
CN107306200B (zh) | 网络故障预警方法和用于网络故障预警的网关 | |
CN108449307B (zh) | 一种用于识别风险设备的方法 | |
CN110930254A (zh) | 基于区块链的数据处理方法、装置、终端及介质 | |
CN104050197A (zh) | 一种信息检索系统评测方法和装置 | |
CN111522735A (zh) | 测试实验的分流方法及装置 | |
CN102541946B (zh) | 基于超链接的推荐属性确定超链推荐度的方法与设备 | |
CN102841922B (zh) | 数据采集方法及装置 | |
CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
CN113067802A (zh) | 一种用户标识方法、装置、设备及计算机可读存储介质 | |
CN110796500B (zh) | 一种信息监控方法、装置、电子设备及存储介质 | |
CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
CN110543509B (zh) | 用户访问数据的监控系统、方法、装置及电子设备 | |
CN115119197B (zh) | 基于大数据的无线网络风险分析方法、装置、设备及介质 | |
CN110098983B (zh) | 一种异常流量的检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
CP01 | Change in the name or title of a patent holder | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150415 |
|
CF01 | Termination of patent right due to non-payment of annual fee |