CN102868685A - 一种判定自动扫描行为的方法及装置 - Google Patents

Abstract

本发明公开了一种判定自动扫描行为的方法及装置，该方法包括：在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息；将设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，确定选定发送端的请求可信值；统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，确定选定发送端的响应可信值；根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在设定周期内选定发送端的综合评估值；将综合评估值与第一设定阈值进行比较，判定选定发送端是否发生了自动扫描行为。该方案相对于现有技术适用性和准确性更高。

Description

一种判定自动扫描行为的方法及装置

技术领域

本发明涉及网络安全技术领域，尤指一种判定自动扫描行为的方法及装置。

背景技术

随着互联网技术的发展，网站的信息量呈现出爆炸性增长趋势，基于网站产生自动扫描行为的工具也越来越多，如搜索引擎、下载工具、扫描器等等，这些工具的自动扫描行为并不是用户产生的，而是工具自身为了对网站信息进行分析而自动产生的，这些工具的自动扫描行为会占用很多网络资源，从而影响用户正常的访问。因此，判定这些自动扫描行为，并进行阻断是非常必要的。

现有的判定自动扫描行为的方法主要有以下两种：第一种是根据产生自动扫描行为的工具的特征信息，建立判定自动扫描行为的特征信息库，在接收到访问请求后，将访问请求中的特征信息与特征信息库中的特征信息进行匹配，来判定是否有自动扫描行为，这种方法适用性很差，只能判定已知特征信息的工具的自动扫描行为，对于未知的特征信息则无能为力；第二种是根据网络安全设备的告警频率判定，当高于某一告警频率，判定为自动扫描行为，这种判定方法过于简单，准确性较差。

综上所述，现有的判定自动扫描行为的方法，适用性和准确性较差。

发明内容

本发明实施例提供一种判定自动扫描行为的方法及装置，用以解决现有的判定自动扫描行为的方法，适用性和准确性较差的问题。

一种判定自动扫描行为的方法，包括：

在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息；

将所述设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，根据统计的每个设定子周期内访问请求消息的个数，确定所述选定发送端的请求可信值；以及

统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，根据统计的成功响应消息的个数和失败响应消息的个数，确定所述选定发送端的响应可信值；

获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在所述设定周期内所述选定发送端的综合评估值；

将所述综合评估值与第一设定阈值进行比较，判定所述选定发送端是否发生了自动扫描行为。

一种判定自动扫描行为的装置，包括：

消息采集单元，用于在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息；

可信值确定单元，用于将所述设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，根据统计的每个设定子周期内访问请求消息的个数，确定所述选定发送端的请求可信值；以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，根据统计的成功响应消息的个数和失败响应消息的个数，确定所述选定发送端的响应可信值；

评估值确定单元，用于获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在所述设定周期内所述选定发送端的综合评估值；

判定单元，用于将所述综合评估值与第一设定阈值进行比较，判定所述选定发送端是否发生了自动扫描行为。

本发明有益效果如下：

本发明实施例提供的判定自动扫描行为的方法及装置，通过在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息；将所述设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，根据统计的每个设定子周期内访问请求消息的个数，确定所述选定发送端的请求可信值；以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，根据统计的成功响应消息的个数和失败响应消息的个数，确定所述选定发送端的响应可信值；获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在所述设定周期内所述选定发送端的综合评估值；将所述综合评估值与第一设定阈值进行比较，判定所述选定发送端是否发生了自动扫描行为。该方案依赖于采集的选定发送端发送的访问请求消息和网站服务器返回的访问响应消息来一步一步确定出选定发送端的综合评估值，然后根据综合评估值与第一设定阈值的比较结果，来判定选定发送端是否发生了自动扫描行为，该方案针对每个选定发送端都可以采集访问请求消息和访问响应消息进行判定，相比现有技术依赖于与已知的数据库信息匹配的结果进行判定，适应性更高；该方案需要根据采集的访问请求消息确定选定发送端的请求可信值，以及根据采集的响应消息确定选定发送端的响应可信值，然后根据请求可信值和响应可信值确定出选定发送端的综合评估值，由于综合考虑了选定发送端的请求可信值和响应可信值，相对于现有技术仅仅依赖与网络安全设备的告警频率来判定，准确性更高。

附图说明

图1为本发明实施例中判定自动扫描行为的方法的流程图；

图2为本发明实施例中确定选定发送端的请求可信值的方法流程图；

图3为本发明实施例中判定自动扫描行为的装置的结构示意图。

具体实施方式

针对现有的判定自动扫描行为的方法，适用性和准确性较差的问题，本发明实施例提供的判定自动扫描行为的方法，该方法的流程如图1所示，执行步骤如下：

S10：在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息。

可以依据实际需要选定一段时间作为设定周期，现在有很多网站服务器，可以选定一个或多个网站服务器作为选定网站服务器，针对某个选定网站服务器，又会有很多发送端来访问，可以选取全部或部分发送端作为选定发送端。

针对某个选定发送端，在设定周期内，可以采集其向选定网站服务器发送的访问请求消息和选定网站返回的访问响应消息，也就是采集选定服务器接收到的携带选定发送端的互联网协议（Internet Protocol，IP）地址作为源IP地址的访问请求消息，和选定服务器发送的携带选定发送端的IP地址作为目的IP地址的访问响应消息。

S11：将设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，根据统计的每个设定子周期内访问请求消息的个数，确定选定发送端的请求可信值。

将设定周期等分为至少两个设定子周期，若设定周期为T，设定子周期为t，那么T=nt，其中n为设定子周期的个数。若统计到的第一个设定子周期t₁内采集的访问请求消息的个数为y₁，第二个设定子周期t₂内采集的访问请求消息的个数为y₂,……，第n个定子周期t_n内采集的访问请求消息的个数为y_n，可以根据y₁、y₂、……、y_n确定选定发送端的请求可信值。

S12：统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，根据统计的成功响应消息的个数和失败响应消息的个数，确定选定发送端的响应可信值。

选定网站服务器对于选定发送端的访问请求消息的访问响应消息可以分为两类，一类是成功响应消息，一类是失败响应消息，可以根据统计的成功响应消息的个数和失败响应消息的个数，确定选定发送端的响应可信值。

S12与S11没有先后顺序，可先执行S11再执行S12，也可以先执行S12再执行S11，当然也可以同时执行S11和S12。

S13：获取与请求可信值对应的第一权重和与响应可信值对应的第二权重，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在设定周期内选定发送端的综合评估值。

第一权重和第二权重可以根据实际的需要设定。

S14：将综合评估值与第一设定阈值进行比较，判定选定发送端是否发生了自动扫描行为。

该方案依赖于采集的选定发送端发送的访问请求消息和网站服务器返回的访问响应消息来一步一步确定出选定发送端的综合评估值，然后根据综合评估值与第一设定阈值的比较结果，来判定选定发送端是否发生了自动扫描行为，该方案针对每个选定发送端都可以采集访问请求消息和访问响应消息进行判定，相比现有技术依赖于与已知的数据库信息匹配的结果进行判定，适应性更高；该方案需要根据采集的访问请求消息确定选定发送端的请求可信值，以及根据采集的响应消息确定选定发送端的响应可信值，然后根据请求可信值和响应可信值确定出选定发送端的综合评估值，由于综合考虑了选定发送端的请求可信值和响应可信值，相对于现有技术仅仅依赖与网络安全设备的告警频率来判定，准确性更高。

具体的，上述S11中的根据统计的每个设定子周期内访问请求消息的个数，确定选定发送端的请求可信值，如图2所示，具体包括：

S111：记录统计的每个设定子周期内访问请求消息的个数，得到统计数据序列。

记录统计的每个设定子周期内的访问请求消息的个数，那么得到的统计数据序列Y_i=（y₁，y₂，……，y_n），其中，n表示设定子周期的个数，也就是统计数据序列Y_i中元素的个数。

S112：获取统计数据序列中最大值，判断获取的最大值是否不小于第二设定阈值，若是，执行S113；否则，执行S114。

S113：将获取的最大值与第二设定阈值的比值作为请求可信值。

假设第二设定阈值为Y_max，y_max为Y_i中最大值，若y_max大于Y_max，将y_max与Y_max的比值作为请求可信值Q。

S114：计算统计数据序列的误差比，判断误差比是否小于第三设定阈值，若是，执行S115；否则，执行S116。

若y_max不小于Y_max，需要继续计算统计数据序列Y_i的误差比K。其中，K越大，说明统计数据序列中的数据越离散，比较符合人发起访问请求消息的情况；K越小，说明统计数据序列中的数据越集中，比较符合选定发送端存在自动扫描行为的情况。

S115：将误差比作为请求可信值。

若误差比K小于第三设定阈值，那么误差比K为请求可信值Q。

S116：分别计算统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率；将第一斜率的绝对值和第二斜率的绝对值的平均值作为请求可信值。

若误差比K不小于第三设定阈值，也就是说统计数据序列中的数据非常离散，无法确定出请求可信值Q，那么在统计数据序列中选定前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率，假设可以选取统计数据序列Yi中的前5个元素和后5个元素，就可以计算前5个元素的斜率k₁，和后5个元素的斜率k₂，将k₁和k₂的绝对值的平均值

作为请求可信值Q。

具体的，上述S114中的计算统计数据序列的误差比，具体包括：计算统计数据序列的标准差和平均值；将统计数据序列的标准差与平均值的比值作为统计数据序列的误差比。

具体的，上述计算统计数据序列的标准差和平均值，具体包括：通过下述公式计算统计数据序列Y_i的标准差σ：通过下述公式计算统计数据序列Y_i的平均值

其中，y_i表示统计数据序列Y_i中的第i个元素，i=0，1,…n-1，n表示统计数据序列Y_i中元素的总个数。

具体的，上述S116中的计算统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率，具体包括：通过下述公式计算统计数据序列Y_i前第一设定个数元素的第一斜率k₁：

通过下述公式计算统计数据序列Y_i后第二设定个数元素的第二斜率k₂：

其中，y_i表示统计数据序列Y_i中的第i个元素；i=0，1,…n₁，…，n-n₂，…n；n₁为第一设定个数，n₂为第二设定个数，n为统计数据序列Y_i中元素的总个数。

具体的，上述S11中的根据统计的成功响应消息的个数和失败响应消息的个数，确定选定发送端的响应可信值，具体包括：将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值，将第一比值作为响应可信值；或者，将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值，获取1与第二比值的差值，作为响应可信值。

若统计设定周期中成功响应消息的个数s₁和失败响应消息的个数s₂，可以将

作为响应可信值A；也可以将

作为响应可信值A。

具体的，上述S12中的根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在设定周期内选定发送端的综合评估值，具体包括：将第一权重与请求可信值相乘得到第一乘积，以及将第二权重与响应可信值相乘得到第二乘积；将第一乘积与第二乘积的和值作为综合评估值。

第一权重和第二权重可以根据实际的需要设定。假设第一权重设为α₁，第二权重设为α₂，那么综合评估值为α₁Q+α₂A。

具体的，上述S13中的将综合评估值与第一设定阈值进行比较，判定选定发送端是否发生了自动扫描行为，具体包括：若综合评估值大于第一设定阈值，判定选定发送端发生自动扫描行为；若综合评估值不大于第一设定阈值，判定选定发送端未发生自动扫描行为。

可以根据综合评估值为α₁Q+α₂A与第一设定阈值的大小来判定选定终端是否发生了自动扫描行为。

针对综合评估值为α₁Q+α₂A，还有两种特殊情况，第一种：当第一权重α₁为0时，响应可信值作为综合评估值，也就是仅仅根据响应可信值来判定选定发送端发生了自动扫描行为；第二种：当第二权重α₂为0时，请求可信值作为综合评估值，也就是仅仅根据请求可信值来判定选定发送端发生了自定扫描行为。

基于同一发明构思，本发明实施例提供一种判定自动扫描行为的装置，该装置的结构如图3所示，包括：

消息采集单元30，用于在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息。

可信值确定单元31，用于将设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，根据统计的每个设定子周期内访问请求消息的个数，确定选定发送端的请求可信值；以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，根据统计的成功响应消息的个数和失败响应消息的个数，确定选定发送端的响应可信值。

评估值确定单元32，用于获取与请求可信值对应的第一权重和与响应可信值对应的第二权重，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在设定周期内选定发送端的综合评估值。

判定单元33，用于将综合评估值与第一设定阈值进行比较，判定选定发送端是否发生了自动扫描行为。

具体的，上述可信值确定单元31，具体用于：记录统计的每个设定子周期内访问请求消息的个数，得到统计数据序列；获取统计数据序列中最大值，并将获取的最大值与第二设定阈值进行比较；若获取的最大值不小于第二设定阈值，将获取的最大值与第二设定阈值的比值作为请求可信值；若获取的最大值小于第二设定阈值，计算统计数据序列的误差比，若误差比小于第三设定阈值，将误差比作为请求可信值。

具体的，上述可信值确定单元31，具体用于：计算统计数据序列的标准差和平均值；将统计数据序列的标准差与平均值的比值作为统计数据序列的误差比。

具体的，上述可信值确定单元31，具体用于：通过下述公式计算统计数据序列Y_i的标准差σ：

通过下述公式计算统计数据序列Y_i的平均值

其中，y_i表示统计数据序列Y_i中的第i个元素，i=0，1,…n-1，n表示统计数据序列Y_i中元素的总个数。

具体的，若误差比不小于第三设定阈值，上述可信值确定单元31，还用于：分别计算统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率；将第一斜率的绝对值和第二斜率的绝对值的平均值作为请求可信值。

具体的，上述可信值确定单元31，具体用于：通过下述公式计算统计数据序列Y_i前第一设定个数元素的第一斜率k₁：

通过下述公式

计算统计数据序列Y_i后第二设定个数元素的第二斜率k₂：

其中，y_i表示统计数据序列Y_i中的第i个元素；i=0，1,…n₁，…，n-n₂，…n；n₁为第一设定个数，n₂为第二设定个数，n为统计数据序列Y_i中元素的总个数。

具体的，上述可信值确定单元31，具体用于：将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值，将第一比值作为响应可信值；或者，将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值，获取1与第二比值的差值，作为响应可信值。

具体的，上述，评估值确定单元32，具体用于：将第一权重与请求可信值相乘得到第一乘积，以及将第二权重与响应可信值相乘得到第二乘积；将第一乘积与第二乘积的和值作为综合评估值。

具体的，上述综判定单元33，具体用于：若综合评估值大于第一设定阈值，判定选定发送端发生自动扫描行为；若综合评估值不大于第一设定阈值，判定选定发送端未发生自动扫描行为。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (18)

1.一种判定自动扫描行为的方法，其特征在于，包括：

在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息；

将所述设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，根据统计的每个设定子周期内访问请求消息的个数，确定所述选定发送端的请求可信值；以及

统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，根据统计的成功响应消息的个数和失败响应消息的个数，确定所述选定发送端的响应可信值；

获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在所述设定周期内所述选定发送端的综合评估值；

将所述综合评估值与第一设定阈值进行比较，判定所述选定发送端是否发生了自动扫描行为。

2.如权利要求1所述的方法，其特征在于，根据统计的每个设定子周期内访问请求消息的个数，确定所述选定发送端的请求可信值，具体包括：

记录统计的每个设定子周期内访问请求消息的个数，得到统计数据序列；

获取所述统数据计序列中最大值，并将获取的最大值与第二设定阈值进行比较；

若获取的最大值不小于所述第二设定阈值，将获取的最大值与所述第二设定阈值的比值作为所述请求可信值；

若获取的最大值小于所述第二设定阈值，计算所述统计数据序列的误差比，若所述误差比小于第三设定阈值，将所述误差比作为所述请求可信值。

3.如权利要求2所述的方法，其特征在于，计算所述统计数据序列的误差比，具体包括：

计算所述统计数据序列的标准差和平均值；

将所述统计数据序列的标准差与平均值的比值作为所述统计数据序列的误差比。

4.如权利要求3所述的方法，其特征在于，计算所述统计数据序列的标准差和平均值，具体包括：

通过下述公式计算所述统计数据序列Y_i的标准差σ：

$\mathrm{\σ}=\sqrt{\frac{\underset{i=0}{\overset{n-1}{\mathrm{\Σ}}}{(y_i-\stackrel{\‾}{y})}^2}{n-1}};$

通过下述公式计算所述统计数据序列Y_i的平均值

$\stackrel{\‾}{y}=\frac{\underset{i=0}{\overset{n-1}{\mathrm{\Σ}}}{y}_i}{n};$

其中，y_i表示统计数据序列Y_i中的第i个元素，i=0，1,…n-1，n表示统计数据序列Y_i中元素的总个数。

5.如权利要求2所述的方法，其特征在于，若所述误差比不小于第三设定阈值，还包括：

分别计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率；

将所述第一斜率的绝对值和所述第二斜率的绝对值的平均值作为所述请求可信值。

6.如权利要求5所述的方法，其特征在于，计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率，具体包括：

通过下述公式计算所述统计数据序列Y_i前第一设定个数元素的第一斜率k₁：

$k_1=\frac{n\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}i\·y_i-\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}i\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}{y}_i}{n\underset{i=2}{\overset{n_1}{\mathrm{\Σ}}}{i}^2-{\left(\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}i\right)}^2};$

通过下述公式计算所述统计数据序列Y_i后第二设定个数元素的第二斜率k₂：

$k_2=\frac{n\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}i\·y_i-\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}i\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}{y}_i}{n\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}{i}^2-{\left(\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}i\right)}^2};$

其中，y_i表示统计数据序列Y_i中的第i个元素；i=0，1,…n₁，…，n-n₂，…n；n₁为第一设定个数，n₂为第二设定个数，n为统计数据序列Y_i中元素的总个数。

7.如权利要求1所述的方法，其特征在于，根据统计的成功响应消息的个数和失败响应消息的个数，确定所述选定发送端的响应可信值，具体包括：

将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值，将所述第一比值作为所述响应可信值；或者

将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值，获取1与所述第二比值的差值，作为所述响应可信值。

8.如权利要求1所述的方法，其特征在于，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在所述设定周期内所述选定发送端的综合评估值，具体包括：

将所述第一权重与所述请求可信值相乘得到第一乘积，以及将所述第二权重与所述响应可信值相乘得到第二乘积；

将所述第一乘积与所述第二乘积的和值作为所述综合评估值。

9.如权利要求1所述的方法，其特征在于，将所述综合评估值与第一设定阈值进行比较，判定所述选定发送端是否发生了自动扫描行为，具体包括：

若所述综合评估值大于所述第一设定阈值，判定所述选定发送端发生自动扫描行为；

若所述综合评估值不大于所述第一设定阈值，判定所述选定发送端未发生自动扫描行为。

10.一种判定自动扫描行为的装置，其特征在于，包括：

消息采集单元，用于在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响应消息；

可信值确定单元，用于将所述设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，根据统计的每个设定子周期内访问请求消息的个数，确定所述选定发送端的请求可信值；以及统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，根据统计的成功响应消息的个数和失败响应消息的个数，确定所述选定发送端的响应可信值；

评估值确定单元，用于获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二权重，根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在所述设定周期内所述选定发送端的综合评估值；

判定单元，用于将所述综合评估值与第一设定阈值进行比较，判定所述选定发送端是否发生了自动扫描行为。

11.如权利要求10所述的装置，其特征在于，所述可信值确定单元，具体用于：

记录统计的每个设定子周期内访问请求消息的个数，得到统计数据序列；

获取所述统计数据序列中最大值，并将获取的最大值与第二设定阈值进行比较；

若获取的最大值不小于所述第二设定阈值，将获取的最大值与所述第二设定阈值的比值作为所述请求可信值；

若获取的最大值小于所述第二设定阈值，计算所述统计数据序列的误差比，若所述误差比小于第三设定阈值，将所述误差比作为所述请求可信值。

12.如权利要求11所述的装置，其特征在于，所述可信值确定单元，具体用于：

计算所述统计数据序列的标准差和平均值；

将所述统计数据序列的标准差与平均值的比值作为所述统计数据序列的误差比。

13.如权利要求12所述的装置，其特征在于，所述可信值确定单元，具体用于：

通过下述公式计算所述统计数据序列Y_i的标准差σ：

$\mathrm{\σ}=\sqrt{\frac{\underset{i=0}{\overset{n-1}{\mathrm{\Σ}}}{(y_i-\stackrel{\‾}{y})}^2}{n-1}};$

通过下述公式计算所述统计数据序列Y_i的平均值

$\stackrel{\‾}{y}=\frac{\underset{i=0}{\overset{n-1}{\mathrm{\Σ}}}{y}_i}{n};$

其中，y_i表示统计数据序列Y_i中的第i个元素，i=0，1,…n-1，n表示统计数据序列Y_i中元素的总个数。

14.如权利要求11所述的装置，其特征在于，若所述误差比不小于第三设定阈值，所述可信值确定单元，还用于：

分别计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率；

将所述第一斜率的绝对值和所述第二斜率的绝对值的平均值作为所述请求可信值。

15.如权利要求14所述的装置，其特征在于，所述可信值确定单元，具体用于：

通过下述公式计算所述统计数据序列Y_i前第一设定个数元素的第一斜率k₁：

$k_1=\frac{n\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}i\·y_i-\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}i\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}{y}_i}{n\underset{i=2}{\overset{n_1}{\mathrm{\Σ}}}{i}^2-{\left(\underset{i=0}{\overset{n_1}{\mathrm{\Σ}}}i\right)}^2};$

通过下述公式计算所述统计数据序列Y_i后第二设定个数元素的第二斜率k₂：

$k_2=\frac{n\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}i\·y_i-\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}i\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}{y}_i}{n\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}{i}^2-{\left(\underset{i=n-n_2}{\overset{n}{\mathrm{\Σ}}}i\right)}^2};$

其中，y_i表示统计数据序列Y_i中的第i个元素；i=0，1,…n₁，…，n-n₂，…n；n₁为第一设定个数，n₂为第二设定个数，n为统计数据序列Y_i中元素的总个数。

16.如权利要求10所述的装置，其特征在于，所述可信值确定单元，具体用于：

将成功响应消息的个数与采集的访问响应消息的总个数相比得到第一比值，将所述第一比值作为所述响应可信值；或者

将失败响应消息的个数与采集的访问响应消息的总个数相比得到第二比值，获取1与所述第二比值的差值，作为所述响应可信值。

17.如权利要求10所述的装置，其特征在于，所述评估值确定单元，具体用于：

将所述第一权重与所述请求可信值相乘得到第一乘积，以及将所述第二权重与所述响应可信值相乘得到第二乘积；

将所述第一乘积与所述第二乘积的和值作为所述综合评估值。

18.如权利要求10所述的装置，其特征在于，所述综判定单元，具体用于：

若所述综合评估值大于所述第一设定阈值，判定所述选定发送端发生自动扫描行为；

若所述综合评估值不大于所述第一设定阈值，判定所述选定发送端未发生自动扫描行为。

Images