CN104320400A - web漏洞扫描方法及装置 - Google Patents

Abstract

本发明提供一种web漏洞扫描方法及装置，所述漏洞扫描方法，包括：按照接收时间序列，将连续的K个响应聚类为一组；获取每组的K个响应的实际平均响应时间和预测平均响应时间；根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数。本发明实施例可以实现自适应地调整扫描并发数，以克服现有web漏洞扫描产品需要根据经验静态配置扫描并发数的问题，从而最大化地利用带宽等资源，同时又不对被扫描站点负荷造成过大影响。

Description

web漏洞扫描方法及装置

技术领域

本发明涉及网络安全领域，尤其涉及一种web漏洞扫描方法及装置。

背景技术

随着网络的普及率越来越高，致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的计算机技术也得到了普遍应用。

web漏洞扫描作为一类重要的计算机技术，通过自动化地爬取网站的链接，然后对链接中的参数等进行改造，发送试探性的请求，可以发现web应用中潜在的跨站脚本、结构化查询语言(Structured Query Language，以下简称：SQL)注入、目录遍历、命令执行等漏洞。

但是，由于web漏洞扫描产品都需要向web站点发送大量的请求，目前的web漏洞扫描产品一般通过用户配置的并发数来控制扫描的速度。根据经验静态配置的扫描并发数，可能并不适应动态多变的实际环境。配置小了，扫描速度太慢；配置大了，容易造成被扫描站点系统过载，对被扫描站点有可能造成DOS攻击。

发明内容

本发明提供一种web漏洞扫描方法及装置，以使web扫描产品更易于配置和使用，克服现有web漏洞扫描产品需要根据经验静态配置扫描并发数的问题，从而最大化地利用带宽等资源，同时又不对被扫描站点负荷造成过大影响。

本发明提供一种web漏洞扫描方法，包括：

按照接收时间序列，将连续的K个响应聚类为一组，其中，K为大于等于1的整数；

获取每组的K个响应的实际平均响应时间和预测平均响应时间；

根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，其中，N为大于等于1的整数。

如上所述的web漏洞扫描方法，所述根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，包括：

若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数；或者，

若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数。

如上所述的web漏洞扫描方法，所述若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数，包括：

若连续N组中每组的实际平均响应时间大于预测平均响应时间，则减小扫描并发数。

如上所述的web漏洞扫描方法，所述若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数，包括：

若连续N组中每组的实际平均响应时间小于预测平均响应时间，则增大扫描并发数。

如上所述的web漏洞扫描方法，所述获取每组的K个响应的实际平均响应时间和预测平均响应时间，包括：

获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间；

根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间。

如上所述的web漏洞扫描方法，所述根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间，包括：

根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间；

其中，i为大于等于1的整数，x_i是前一组的K个响应的实际平均响应时间，x′_i是前一组的K个响应的预测平均响应时间，α是预测权数，0≤α≤1。

如上所述的web漏洞扫描方法，所述根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间之前，还包括：

在0到1的范围内遍历α′的取值，针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中，M为大于等于2的整数；

确定所述连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ最小时，采用的α′的取值为所述预测权数α。

如上所述的web漏洞扫描方法，所述针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，包括：

针对每个α′的取值，根据公式 $\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|}^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}},$ 获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中α＝α'。

本发明还提供了一种web漏洞扫描装置，包括：

聚类模块，用于按照接收时间序列，将连续的K个响应聚类为一组，其中，K为大于等于1的整数；

获取模块，用于获取每组的K个响应的实际平均响应时间和预测平均响应时间；

处理模块，用于根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，其中，N为大于等于1的整数。

如上所述的web漏洞扫描装置，所述处理模块具体用于若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数；或者，若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数。

如上所述的web漏洞扫描装置，所述处理模块具体用于若连续N组中每组的实际平均响应时间大于预测平均响应时间，则减小扫描并发数。

如上所述的web漏洞扫描装置，所述处理模块具体用于若连续N组中每组的实际平均响应时间小于预测平均响应时间，则增大扫描并发数。

如上所述的web漏洞扫描装置，所述获取模块具体用于获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间；根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间。

如上所述的web漏洞扫描装置，所述获取模块具体用于根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间；

其中，i为大于等于1的整数，x_i是前一组的K个响应的实际平均响应时间，x′_i是前一组的K个响应的预测平均响应时间，α是预测权数，0≤α≤1。

如上所述的web漏洞扫描装置，所述获取模块还用于在0到1的范围内遍历α′的取值，针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中，M为大于等于2的整数；

确定所述连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ最小时，采用的α′的取值为所述预测权数α。

如上所述的web漏洞扫描装置，所述获取模块具体用于针对每个α′的取值，根据公式 $\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|}^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}},$ 获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中α＝α'。

本发明提供的web漏洞扫描方法及装置，该方法包括：按照接收时间序列，将连续的K个响应聚类为一组；获取每组的K个响应的实际平均响应时间和预测平均响应时间；根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数。本发明技术方案克服了现有web漏洞扫描产品需要根据经验静态配置扫描并发数的问题，使得扫描并发数可以根据动态多变的实际环境自适应地进行调整。

附图说明

图1为本发明web漏洞扫描方法实施例一的流程示意图；

图2为本发明web漏洞扫描方法实施例二的流程示意图；

图3为本发明web漏洞扫描方法实施例三的流程示意图；

图4为本发明web漏洞扫描方法实施例四的流程示意图；

图5为本发明web漏洞扫描装置实施例一的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供的实施例都是针对一个web站点，多个web站点的处理过程与一个web站点的处理过程类似。

图1为本发明web漏洞扫描方法实施例一的流程示意图，如图1所示，该web漏洞扫描方法，包括：

步骤10：按照接收时间序列，将连续的K个响应聚类为一组。

其中，K为大于等于1的整数。

具体地，扫描工具在进行扫描时，会向站点发送大量的请求以得到网站的响应，将一段时间内得到的连续响应聚类为一组，并将这些响应的个数记为K。

需要说明的是，K并不是一个确定的数，有可能这一段时间内网站连续的响应个数K多于下一段时间内网站连续的响应个数K，也有可能这一段时间内网站连续的响应个数K少于下一段时间内网站连续的响应个数K。

步骤20：获取每组的K个响应的实际平均响应时间和预测平均响应时间。

本实施例中，时间段的划分可以视具体情况而定，如果将每段时间间隔划分得短一些，获取到的每一组的K个响应的实际平均响应时间能更好的代表这一段时间内网站的实际响应情况，但是计算开销也会相应地增大。

步骤30：根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数。

其中，N为大于等于1的整数。

具体地，可以根据实际应用场景对N进行设定，一般来说，为了更好地确定是否调整扫描并发数，可以适当多获取几组的实际平均响应时间和预测平均响应时间，但获取的组数应该控制在一定范围内，防止因为没有及时调整扫描并发数而造成的网站负荷过大或扫描速度过慢。

本实施例提供的扫描方法通过将连续的K个响应聚类为一组，获取每组的K个响应的实际平均响应时间和预测平均响应时间，进而根据连续N组中每组的实际平均响应时间和预测平均响应时间确定是否调整扫描并发数，从而克服了现有web漏洞扫描产品需要根据经验静态配置扫描并发数的问题，使得扫描并发数可以根据动态多变的实际环境自适应地进行调整。

在上述实施例中，所述根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，具体包括但不限于以下两种情况：

第一种情况：若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数。具体来说，可以减小扫描并发数。

第二种情况：若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数。具体来说，可以增大扫描并发数。

若连续N组中每组的实际平均响应时间大于预测平均响应时间，表明现阶段进行的扫描并发数已经引起网站应用负载过高，出现这种情况极有可能导致有些扫描的请求不能及时得到回应，如果这时还将扫描并发数维持不变，就会造成更多的扫描不能及时得到回应，从而致使扫描结果不准确，更为严重的是，网站的响应速度跟站点本身的逻辑、页面大小和站点负荷都有关系，如果在连续N组中每组的实际平均响应时间都大于预测平均响应时间，并且又没有及时降低扫描并发数而继续维持之前的扫描并发数，则有可能使得网站被大量请求拖垮，造成无可挽回的损失。若连续N组中每组的实际平均响应时间小于预测平均响应时间，表明现阶段进行的扫描并发数可以得到网站的及时响应并且实际的响应时间小于预测的响应时间，也就是说，现阶段的扫描并发数并没有达到中央处理器(Central Processing Unit，以下简称CPU)、内存、宽带等资源的最大化利用限度，为了提高扫描效率，可以增大扫描并发数。

本实施例提供的web漏洞扫描方法通过确定连续N组中每组的实际平均响应时间大于预测平均响应时间，则减小扫描并发数；通过确定连续N组中每组的实际平均响应时间小于预测平均响应时间，则增大扫描并发数，使得网站不会因为扫描并发数太多而造成应用负载过高，也使得网站不会因为扫描并发数太少而造成扫描效率不高。

图2为本发明web漏洞扫描方法实施例二的流程示意图，图2是图1中步骤20的进一步描述，结合图1所示，作为上述技术方案的可选，步骤20中，获取每组的K个响应的实际平均响应时间和预测平均响应时间，可以包括：

步骤201：获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间。

具体地，若K个响应中的响应时间分别为t₁,t₂,…,t_k,则实际平均响应时间为(t₁+t₂+...+t_k)/K。

步骤202：根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间。

需要说明的是，初始组的K个响应的预测平均响应时间就等于其实际平均响应时间，也就是说求出初始组的实际平均响应时间，也就知道了其预测平均响应时间，进而根据这一组的实际平均响应时间和预测平均响应时间可以预测下一组的K个响应的预测平均响应时间。

本实施例通过获取K个响应中每个响应的响应时间求平均值获取实际平均响应时间，根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间，再根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，从而使得扫描并发数可以根据动态多变的实际环境自适应地进行调整，提高扫描效率。

在上述实施例中，所述的根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间，包括：

根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间；其中，i为大于等于1的整数，x_i是前一组的K个响应的实际平均响应时间，x′_i是前一组的K个响应的预测平均响应时间，α是预测权数，0≤α≤1。

需要说明的是，预测权数α确定后可以一直使用从而获取后续组的预测平均响应时间，也可以在一段时间内使用，在另一段时间内重新确定，本发明对此不作限制。

在本实施例中，若需要预测初始组下一组的K个响应的预测平均响应时间x′₂，根据公式，需要知道初始组的实际平均响应时间x₁和预测平均响应时间x′₁，对于初始组，其预测平均响应时间x′₁等于实际平均响应时间x₁。

图3为本发明web漏洞扫描方法实施例三的流程示意图，图3是图1中的步骤20的进一步描述，结合图1、图2所示，作为上述技术方案的可选，步骤202根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间之前，还可以包括：

步骤203：在0到1的范围内遍历α′的取值，针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ。

其中，M为大于等于2的整数。

需要说明的是，α′在0到1范围内的取值可以是等间隔的取值，也可以是不等间隔的取值，一般来说选择等间隔的取值使得取值范围分布均匀，α′的取值密度也可以根据实际情况进行调整，本发明对于α′在0到1范围内的取值方式不作限制。例如，M组的每个组的实际平均响应时间为x₁、x₂…x_M，α′可以分别取值为0和1，当α′＝0时，初始组的预测平均响应时间x_1|α′＝0等于初始组的实际平均时间x₁，然后根据公式x′_i+1＝αx_i+(1-α)x′_i计算剩下M-1组的预测平均响应时间x_2|α′＝0…x_M|α′＝0，进而得到M组每组的实际平均响应时间x₁、x₂…x_M和预测平均时间x_1|α′＝0、x_2|α′＝0…x_M|α′＝0的偏差δ；当α′＝1时，初始组的预测平均响应时间x_1|α′＝1等于初始组的实际平均时间x₁，然后根据公式x′_i+1＝αx_i+(1-α)x′_i计算剩下M-1组的预测平均响应时间x_2|α′＝1…x_M|α′＝1，进而得到M组每组的实际平均响应时间x₁、x₂…x_M和预测平均时间x_1|α′＝1、x_2|α′＝1…x_M|α′＝1的偏差δ。α′也可以在0到1范围内进行等间隔0.1取值，则α′的取值为0，0.1，…，1，下面以α′＝0、α′＝0.1和α′＝1的情况为例说明如何获取M组每组的实际平均响应时间和预测平均响应时间的偏差δ，当α′＝0时，初始组的预测平均响应时间x_1|α′＝0等于初始组的实际平均时间x₁，然后根据公式x′_i+1＝αx_i+(1-α)x′_i计算剩下M-1组每组的预测平均响应时间x_2|α′＝0…x_M|α′＝0，进而得到M组每组的实际平均响应时间x₁、x₂…x_m和预测平均时间x_1|α′＝0、x_2|α′＝0…x_M|α′＝0的偏差δ；当α′＝0.1时，初始组的预测平均响应时间x_{1|α′＝0.1}等于初始组的实际平均时间x₁，然后根据公式x′_i+1＝αx_i+(1-α)x′_i计算剩下M-1组每组的预测平均响应时间x_{2|α′＝0.1}…x_{M|α′＝0.1}，进而得到M组的每个组的实际平均响应时间x₁、x₂…x_M和预测平均时间x_{1|α′＝0.1}、x_{2|α′＝0.1}…x_{M|α′＝0.1}的偏差δ；当α′＝1时，初始组的预测平均响应时间x_1|α′＝1等于初始组的实际平均时间x₁，然后根据公式x′_i+1＝αx_i+(1-α)x′_i计算剩下M-1组每组的预测平均响应时间x_2|α′＝1…x_M|α′＝1，进而得到M组每组的实际平均响应时间x₁、x₂…x_M和预测平均时间x_1|α′＝1、x_2|α′＝1…x_M|α′＝1的偏差δ。

具体地，可以通过计算M组每组的实际平均响应时间和预测平均响应时间的绝对值的平均值，来获取M组每组的实际平均响应时间和预测平均响应时间的偏差δ，例如，若α′如上述在0到1范围内进行等间隔0.1取值，α′可以取0，0.1，…，1，下面分别以α′＝0、α′＝0.1和α′＝1的情况为例分别说明如何计算M组每组的实际平均响应时间和预测平均响应时间的偏差δ，当α′＝0时，M组每组的实际平均响应时间和预测平均响应时间的偏差 $\mathrm{\δ}=\frac{|x_1-x_{1|{\mathrm{\α}}^{\′}=0}^{\′}|+|x_2-x_{2|{\mathrm{\α}}^{\′}=0}^{\′}|+...+|x_M-x_{M|{\mathrm{\α}}^{\′}=0}^{\′}|}{M};$ 当α′＝0.1时M组每组的实际平均响应时间和预测平均响应时间的偏差 $\mathrm{\δ}=\frac{|x_1-x_{1|{\mathrm{\α}}^{\′}=0.1}^{\′}|+|x_2-x_{2|{\mathrm{\α}}^{\′}=0.1}^{\′}|+...+|x_M-x_{M|{\mathrm{\α}}^{\′}=0.1}^{\′}|}{M};$ 当α′＝1时M组每组的实际平均响应时间和预测平均响应时间的偏差 $\mathrm{\δ}=\frac{|x_1-x_{1|{\mathrm{\α}}^{\′}=1}^{\′}|+|x_2-x_{2|{\mathrm{\α}}^{\′}=1}^{\′}|+...+|x_M-x_{M|{\mathrm{\α}}^{\′}=1}^{\′}|}{M}.$ 偏差的计算方法也可以有其他不同方式，本发明对此不作限制。

步骤204：确定连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ最小时，采用的α′的取值为预测权数α。

本实施例通过在0到1的范围内遍历α′的取值，针对每个α′的取值，通过获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ并确定最小的偏差δ，最终确定采用的α′的取值为预测权数α，从而更好的进行下一组平均响应时间的预测。

在上述实施例的基础上，所述针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，包括：

针对每个α′的取值，根据公式 $\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|}^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}},$ 获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中α＝α'。

具体地，若α′如上述在0到1范围内进行等间隔0.1取值，α′可以取0，0.1，…，1，下面同样以α′＝0、α′＝0.1和α′＝1的情况为例说明如何计算M组每组的实际平均响应时间和预测平均响应时间的偏差δ，当α′＝0时，M组每组的实际平均响应时间和预测平均响应时间的偏差

$\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|{\mathrm{\α}}^{\′}=0}^{\′})}^2+{(x_2-x_{2|{\mathrm{\α}}^{\′}=0}^{\′})}^2+...+{(x_i-x_{i|{\mathrm{\α}}^{\′}=0}^{\′})}^2+...+{(x_M-x_{M|{\mathrm{\α}}^{\′}=0}^{\′})}^2}{M}},$

当α′＝0.1时M组每组的实际平均响应时间和预测平均响应时间的偏差

$\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|{\mathrm{\α}}^{\′}=0.1}^{\′})}^2+{(x_2-x_{2|{\mathrm{\α}}^{\′}=0.1}^{\′})}^2+...+{(x_i-x_{i|{\mathrm{\α}}^{\′}=0.1}^{\′})}^2+...+{(x_M-x_{M|{\mathrm{\α}}^{\′}=0.1}^{\′})}^2}{M}},$

当α′＝1时M组每组的实际平均响应时间和预测平均响应时间的偏差

$\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|{\mathrm{\α}}^{\′}=0}^{\′})}^2+{(x_2-x_{2|{\mathrm{\α}}^{\′}=0}^{\′})}^2+...+{(x_i-x_{i|{\mathrm{\α}}^{\′}=0}^{\′})}^2+...+{(x_M-x_{M|{\mathrm{\α}}^{\′}=0}^{\′})}^2}{M}}.$

本实施例通过公式 $\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|}^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}}$ 获取当α′遍历0到1的取值时连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，并确定达到最小偏差δ采用的α′的取值为此web站点的预测权数α，从而根据公式x′_i+1＝αx_i+(1-α)x′_i更好的进行下一组平均响应时间的预测。

图4为本发明web漏洞扫描方法实施例四的流程示意图，如图4所示，该web漏洞扫描方法包括：

步骤401：按照接收时间序列，将连续的K个响应聚类为一组。

其中，K为大于等于1的整数。

步骤402：获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间。

步骤403：在0到1的范围内遍历α′的取值，针对每个α′的取值，通过公式x′_i+1＝αx_i+(1-α)x′_i，其中α＝α'，计算连续M组每组的预测平均响应时间，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，

$\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|}^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}}.$

其中，M为大于等于2的整数。

步骤404：确定连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ最小时，采用的α′的取值为预测权数α。

步骤405：根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间。

其中，x_m是前一组的K个响应的实际平均响应时间，x′_m是前一组的K个响应的预测平均响应时间，α是预测权数，0≤α≤1。

步骤406：若连续N组中每组的实际平均响应时间大于预测平均响应时间，则减小扫描并发数；若连续N组中每组的实际平均响应时间小于预测平均响应时间，则增大扫描并发数。

其中，N为大于等于1的整数。

本实施例提供的web漏洞扫描方法通过按照接收时间序列将连续K个响应聚类为一组；获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间；在0到1的范围内遍历α′的取值，针对每个α′的取值，通过公式x′_i+1＝αx_i+(1-α)x′_i，其中α＝α'，计算连续M组每组的预测平均响应时间，通过公式 $\mathrm{\δ}=\sqrt{\frac{{(x_1-x_{1|}^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}}$ 获取M组每组的实际平均响应时间和预测平均响应时间的偏差δ；确定偏差δ最小的α′的取值为预测权数α；再根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间；根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，从而使得网站不会因为扫描并发数太多而造成应用负载过高，也使得网站不会因为扫描并发数太少而造成扫描效率不高。

图5为本发明web漏洞扫描装置实施例一的结构示意图，本实施例中的web漏洞扫描装置可以实现本发明图1所示实施例的技术方案。如图5所示，该装置包括：

聚类模块51，用于按照接收时间序列，将连续的K个响应聚类为一组，其中，K为大于等于1的整数；

获取模块52，用于获取每组的K个响应的实际平均响应时间和预测平均响应时间；

处理模块53，用于根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，其中，N为大于等于1的整数。

上述装置可用于执行方法实施例的技术方案，其实现原理类似，详细可以参考上述相关方法实施例的记载，此处不再赘述。

本实施例提供的web漏洞扫描装置，通过聚类模块按照接收时间序列，将连续的K个响应聚类为一组；获取模块获取每组的K个响应的实际平均响应时间和预测平均响应时间；处理模块根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，从而克服了现有web漏洞扫描产品需要根据经验静态配置扫描并发数的问题，使得扫描并发数可以根据动态多变的实际环境自适应地进行调整。

在上述实施例中，处理模块53具体用于若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数，具体来说，减小扫描并发数；或者，若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数，具体来说，增大扫描并发数。

在上述任一实施例基础上，获取模块52具体用于获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间；根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间。

在上述实施例的基础上，获取模块还具体用于根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间；其中，i为大于等于1的整数，xi是前一组的K个响应的实际平均响应时间，x′_i是前一组的K个响应的预测平均响应时间，α是预测权数，0≤α≤1。

在上述实施例的基础上，获取模块还用于在0到1的范围内遍历α′的取值，针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中，M为大于等于2的整数；确定所述连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ最小时，采用的α′的取值为所述预测权数α。

在上述实施例的基础上，获取模块具体用于针对每个α′的取值，根据公式 $\sqrt{\frac{{(x_1-x_{1|}^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}},$ 获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中α＝α'。

本实施例提供了一种web漏洞扫描方法及装置，该方法包括：按照接收时间序列，将连续的K个响应聚类为一组；获取每组的K个响应的实际平均响应时间和预测平均响应时间；根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，从而使得扫描并发数可以根据动态多变的实际环境自适应地进行调整，保证网站不会因为扫描并发数太多而造成应用负载过高，也不会因为扫描并发数太少而造成扫描效率不高。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (16)

1.一种web漏洞扫描方法，其特征在于，包括：

按照接收时间序列，将连续的K个响应聚类为一组，其中，K为大于等于1的整数；

获取每组的K个响应的实际平均响应时间和预测平均响应时间；

根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，其中，N为大于等于1的整数。

2.根据权利要求1所述的方法，其特征在于，所述根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，包括：

若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数；或者，

若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数。

3.根据权利要求2所述的方法，其特征在于，所述若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数，包括：

若连续N组中每组的实际平均响应时间大于预测平均响应时间，则减小扫描并发数。

4.根据权利要求2所述的方法，其特征在于，所述若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数，包括：

若连续N组中每组的实际平均响应时间小于预测平均响应时间，则增大扫描并发数。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述获取每组的K个响应的实际平均响应时间和预测平均响应时间，包括：

获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间；

根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间。

6.根据权利要求5所述的方法，其特征在于，所述根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间，包括：

根据公式x′_x+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间；

其中，i为大于等于1的整数，x_i是前一组的K个响应的实际平均响应时间，x′_i是前一组的K个响应的预测平均响应时间，α是预测权数，0≤α≤1。

7.根据权利要求6所述的方法，其特征在于，所述根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间之前，还包括：

在0到1的范围内遍历α′的取值，针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中，M为大于等于2的整数；

确定所述连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ最小时，采用的α′的取值为所述预测权数α。

8.根据权利要求7所述的方法，其特征在于，所述针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，包括：

针对每个α′的取值，根据公式 $\mathrm{\δ}=\sqrt{\frac{{(x_1-x_1^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}},$ 获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中α＝α'。

9.一种web漏洞扫描装置，其特征在于，包括：

聚类模块，用于按照接收时间序列，将连续的K个响应聚类为一组，其中，K为大于等于1的整数；

获取模块，用于获取每组的K个响应的实际平均响应时间和预测平均响应时间；

处理模块，用于根据连续N组中每组的实际平均响应时间和预测平均响应时间，确定是否调整扫描并发数，其中，N为大于等于1的整数。

10.根据权利要求9所述的装置，其特征在于，所述处理模块具体用于若连续N组中每组的实际平均响应时间大于预测平均响应时间，则调整扫描并发数；或者，若连续N组中每组的实际平均响应时间小于预测平均响应时间，则调整扫描并发数。

11.根据权利要求10所述的装置，其特征在于，所述处理模块具体用于若连续N组中每组的实际平均响应时间大于预测平均响应时间，则减小扫描并发数。

12.根据权利要求10所述的装置，其特征在于，所述处理模块具体用于若连续N组中每组的实际平均响应时间小于预测平均响应时间，则增大扫描并发数。

13.根据权利要求9-12任一项所述的装置，其特征在于，所述获取模块具体用于获取K个响应中每个响应的响应时间，求平均值获取实际平均响应时间；根据连续的两组中前一组的K个响应的实际平均响应时间和预测平均响应时间预测后一组的K个响应的预测平均响应时间。

14.根据权利要求13所述的装置，其特征在于，所述获取模块具体用于根据公式x′_i+1＝αx_i+(1-α)x′_i，预测后一组的K个响应的预测平均响应时间；

其中，i为大于等于1的整数，x_i是前一组的K个响应的实际平均响应时间，x′_i是前一组的K个响应的预测平均响应时间，α是预测权数，0≤α≤1。

15.根据权利要求14所述的装置，其特征在于，所述获取模块还用于在0到1的范围内遍历α′的取值，针对每个α′的取值，获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中，M为大于等于2的整数；

确定所述连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ最小时，采用的α′的取值为所述预测权数α。

16.根据权利要求15所述的装置，其特征在于，所述获取模块具体用于针对每个α′的取值，根据公式 $\mathrm{\δ}=\sqrt{\frac{{(x_1-x_1^{\′})}^2+{(x_2-x_2^{\′})}^2+...+{(x_i-x_i^{\′})}^2+...+{(x_M-x_M^{\′})}^2}{M}},$ 获取连续M组每组的实际平均响应时间和预测平均响应时间的偏差δ，其中α＝α'。