CN109474601B - 一种基于行为识别的扫描类攻击处置方法 - Google Patents

一种基于行为识别的扫描类攻击处置方法 Download PDF

Info

Publication number
CN109474601B
CN109474601B CN201811415741.0A CN201811415741A CN109474601B CN 109474601 B CN109474601 B CN 109474601B CN 201811415741 A CN201811415741 A CN 201811415741A CN 109474601 B CN109474601 B CN 109474601B
Authority
CN
China
Prior art keywords
frequency
scanning
time
attack
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811415741.0A
Other languages
English (en)
Other versions
CN109474601A (zh
Inventor
毛润华
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201811415741.0A priority Critical patent/CN109474601B/zh
Publication of CN109474601A publication Critical patent/CN109474601A/zh
Application granted granted Critical
Publication of CN109474601B publication Critical patent/CN109474601B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于行为识别的扫描类攻击处置方法,统计t时间内所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c,若满足告警规则且存在任一IP触发拦截机制,则对此IP进行扫描IP威胁情报库匹配,无匹配项时对当前IP直接拦截时间T并将当前IP及关联信息更新至扫描IP威胁情报库,当有匹配项时,查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,以其平方值对当前IP进行拦截,更新数据。本发明采用行为识别的算法匹配扫描行为,准确率高,参考异常访问频次a、错误状态码触发频次b和攻击行为频次c的数据,出现误报的概率低,在可控时间内完成扫描行为的识别和拦截,识别速度快。

Description

一种基于行为识别的扫描类攻击处置方法
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种误报率和漏报率都较低的基于行为识别的扫描类攻击处置方法。
背景技术
网络技术的应用已深刻影响、改变了人们的生产方式和生活方式,推动了社会各个方面的进步与发展,并在国民经济各个领域起着重要的推动和支撑作用。随着网络化程度的加深,黑客为了牟取利益,对于互联网的攻击也逐渐升级。
现有技术中,黑客在攻击互联网网站时,一般会先使用自动化扫描工具对目标服务器进行探测和踩点,以获取对实施攻击有价值的漏洞和信息,为下一步实施攻击做好准备,通过自动化工具攻击使得攻击成本变低;同时,国内众多监管机构也对互联网网站进行监测与检查,以发现网站服务器漏洞,通过数据分析扫描攻击占整体攻击的比例为90%,因此对扫描类攻击需要有效防护。
专利号为201210313458.3的发明公开了一种判定自动扫描行为的方法及装置专利,该方法包括:在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息;将设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,确定选定发送端的请求可信值;统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,确定选定发送端的响应可信值;根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在设定周期内选定发送端的综合评估值;将综合评估值与第一设定阈值进行比较,判定选定发送端是否发生了自动扫描行为。
然而,这篇专利中只判断了请求消息和响应消息的统计,并没有说明其具体比例,除此之外,技术方案中也没有对访问文件中缺少图片和样式文件的访问判断和访问攻击的比例进行判断,当采用对一定时间内发起请求的频率进行识别时,极容易造成扫描类攻击的误报及漏报。误报,指对于某些出口IP访问量比较大的会误拦截,而漏报,指当攻击者将频率调低后将无法识别。
发明内容
为了解决现有技术中,对于扫描类攻击的误报率和漏报率较高的问题,本发明提供一种优化的基于行为识别的扫描类攻击处置方法。
本发明所采用的技术方案是,一种基于行为识别的扫描类攻击处置方法,所述方法包括以下步骤:
步骤1:统计t时间内,所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c;0<t≤2min;
步骤2:若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则,告警;
步骤3:当存在任一IP触发拦截机制,进行下一步,否则,返回步骤1;
步骤4:对步骤3的IP进行扫描IP威胁情报库匹配,如无匹配项,则对当前IP直接拦截时间T,将当前IP及关联信息更新至扫描IP威胁情报库,返回步骤1,如有匹配项,进行下一步;T>0;
步骤5:查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,对当前IP拦截时间T’T’=T n ²
步骤6:将T’更新至扫描IP威胁情报库并与当前IP对应,返回步骤1。
优选地,所述步骤2中,在t时间内,任一IP对样式图片类资源访问次数为0,则异常访问频次a满足告警规则。
优选地,所述步骤2中,在t时间内,任一IP触发的首位为4的状态码的个数占所有IP访问所述网页返回的状态码的个数的百分比超过m,则错误状态码触发频次b满足告警规则;0<m≤100%。
优选地,所述m为40%。
优选地,所述步骤2中,在t时间内,任一IP对所述网页发起攻击且攻击行为的次数占所述IP访问所述网页的次数的百分比超过n,则攻击行为频次c满足告警规则;0<n≤100%。
优选地,所述n为40%。
优选地,所述t为1min。
优选地,所述步骤3中,拦截机制为异常访问频次a和错误状态码触发频次b同时满足告警规则,或攻击行为频次c满足告警规则。
优选地,所述步骤4中,时间T600s。
优选地,所述扫描IP威胁情报库包括扫描时间、IP、IP所属区域、扫描域名和IP最近一次拦截时间。
本发明提供了一种优化的基于行为识别的扫描类攻击处置方法,通过统计t时间内所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c,若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则且存在任一IP触发拦截机制,则首先对此IP进行扫描IP威胁情报库匹配,无匹配项时对当前IP直接拦截时间T并将当前IP及关联信息更新至扫描IP威胁情报库,而当有匹配项时,查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,以其平方值对当前IP进行拦截,更新数据。
本发明区别于传统的基于速率的识别方法,采用行为识别的算法匹配扫描行为,准确率高,参考异常访问频次a、错误状态码触发频次b和攻击行为频次c的数据,出现误报的概率低,在可控时间内完成扫描行为的识别和拦截,识别速度快。
附图说明
图1为本发明的方法流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于行为识别的扫描类攻击处置方法,事实上包括扫描行为发现和扫描行为拦截两个模块,前者用于发现扫描行为,后者用于对扫描行为进行拦截。
本发明中,扫描行为一般由黑客通过自动化扫描发起,自动化扫描是指采用自动化扫描工具对目标网站服务器发起扫描攻击,通过对服务器的响应内容进行判断存在哪些漏洞,便于黑客的后续攻击行为的发起。
所述方法包括以下步骤。
步骤1:统计t时间内,所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c;0<t≤2min。
所述t为1min。
本发明中,步骤1是在访问某一个特定的网站的所有IP中挑出一个或几个存在攻击行为的IP并进行数据统计的过程。
本发明中,时间t为1min为预设值,本领域技术人员可以依据需求自行设置,当然,在兼顾到扫描频率和处置时间的情况下,t为1min为较理想的值。
本发明中,异常访问频次a、错误状态码触发频次b和攻击行为频次c在超过预设时间后会归零,然后再重新统计。
步骤2:若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则,告警。
所述步骤2中,在t时间内,任一IP对样式图片类资源访问次数为0,则异常访问频次a满足告警规则。
所述步骤2中,在t时间内,任一IP触发的首位为4的状态码的个数占所有IP访问所述网页返回的状态码的个数的百分比超过m,则错误状态码触发频次b满足告警规则;0<m≤100%。
所述m为40%。
所述步骤2中,在t时间内,任一IP对所述网页发起攻击且攻击行为的次数占所述IP访问所述网页的次数的百分比超过n,则攻击行为频次c满足告警规则;0<n≤100%。
所述n为40%。
本发明中,以告警作为门槛,当某个检测项处于危险状态下,首先发起告警,随后判断是否存在需要拦截的情况。
本发明中,正常的浏览器在访问网站时通常会根据访问资源自动调用和访问css、js等样式和图片类资源,以渲染和呈现整体页面内容,而黑客使用的扫描器在扫描网站时只针对htm、html、shtml、asp、jsp、php等页面发起访问,不会调用和访问样式和图片类资源,因此,对所有IP在1分钟内的访问行为进行分析,当发现某个IP在1分钟内不对样式图片类资源访问时,即异常访问频次a满足告警规则,进行告警。
本发明中,扫描类攻击通常会对常用页面发起探测访问,当服务器接收到不存在页面的访问时会响应首位为4的错误状态码,对所有IP在1分钟内触发首位为4的错误状态码进行统计分析,当某个IP的首位为4的错误状态码的个数占总访问数的比例超过m时进行告警;一般情况下,m值为40%。
本发明中,首位为4的状态码表示客户端/请求异常。
本发明中,扫描器对网站目录和页面探测完成后,会对页面发起攻击特征,因此攻击行为会占整体访问的较高比例,当任一IP对网页发起攻击且攻击行为的次数占此IP访问网页的次数的百分比超过n时进行告警;一般情况下,n值为40%。
本发明中,攻击特征是指采用自动化扫描工具在扫描过程中触发防护系统的特征。
步骤3:当存在任一IP触发拦截机制,进行下一步,否则,返回步骤1。
所述步骤3中,拦截机制为异常访问频次a和错误状态码触发频次b同时满足告警规则,或攻击行为频次c满足告警规则。
步骤4:对步骤3的IP进行扫描IP威胁情报库匹配,如无匹配项,则对当前IP直接拦截时间T,将当前IP及关联信息更新至扫描IP威胁情报库,返回步骤1,如有匹配项,进行下一步;T>0。
所述步骤4中,时间T600s。
所述扫描IP威胁情报库包括扫描时间、IP、IP所属区域、扫描域名和IP最近一次拦截时间。
步骤5:查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,对当前IP拦截时间T’T’=T n ²
步骤6:将T’更新至扫描IP威胁情报库并与当前IP对应,返回步骤1。
本发明中,当被拦截IP仍发起扫描行为时,则启动惩罚机制,阻断时间为上一次拦截时间的平方,即T’=T n ²
本发明中,构建扫描IP威胁情报库有利于情报分析,可以更快速地发现和拦截扫描IP。
本发明通过统计t时间内所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c,若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则且存在任一IP触发拦截机制,则首先对此IP进行扫描IP威胁情报库匹配,无匹配项时对当前IP直接拦截时间T并将当前IP及关联信息更新至扫描IP威胁情报库,而当有匹配项时,查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,以其平方值对当前IP进行拦截,更新数据。
本发明区别于传统的基于速率的识别方法,采用行为识别的算法匹配扫描行为,准确率高,参考异常访问频次a、错误状态码触发频次b和攻击行为频次c的数据,出现误报的概率低,在可控时间内完成扫描行为的识别和拦截,识别速度快。

Claims (8)

1.一种基于行为识别的扫描类攻击处置方法,其特征在于:所述方法包括以下步骤:
步骤1:统计t时间内,所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c;0<t≤2min;
步骤2:若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则,告警;在t时间内,任一IP对样式图片类资源访问次数为0,则异常访问频次a满足告警规则;
步骤3:当存在任一IP触发拦截机制,进行下一步,否则,返回步骤1;拦截机制为异常访问频次a和错误状态码触发频次b同时满足告警规则,或攻击行为频次c满足告警规则;
步骤4:对步骤3的IP进行扫描IP威胁情报库匹配,如无匹配项,则对当前IP直接拦截时间T,将当前IP及关联信息更新至扫描IP威胁情报库,返回步骤1,如有匹配项,进行下一步;T>0;
步骤5:查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,对当前IP拦截时间T’T’=T n ²
步骤6:将T’更新至扫描IP威胁情报库并与当前IP对应,返回步骤1。
2.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述步骤2中,在t时间内,任一IP触发的首位为4的状态码的个数占所有IP访问所述网页返回的状态码的个数的百分比超过m,则错误状态码触发频次b满足告警规则;0<m≤100%。
3.根据权利要求2所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述m为40%。
4.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述步骤2中,在t时间内,任一IP对所述网页发起攻击且攻击行为的次数占所述IP访问所述网页的次数的百分比超过n,则攻击行为频次c满足告警规则;0<n≤100%。
5.根据权利要求4所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述n为40%。
6.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述t为1min。
7.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述步骤4中,时间T600s。
8.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述扫描IP威胁情报库包括扫描时间、IP、IP所属区域、扫描域名和IP最近一次拦截时间。
CN201811415741.0A 2018-11-26 2018-11-26 一种基于行为识别的扫描类攻击处置方法 Active CN109474601B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811415741.0A CN109474601B (zh) 2018-11-26 2018-11-26 一种基于行为识别的扫描类攻击处置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811415741.0A CN109474601B (zh) 2018-11-26 2018-11-26 一种基于行为识别的扫描类攻击处置方法

Publications (2)

Publication Number Publication Date
CN109474601A CN109474601A (zh) 2019-03-15
CN109474601B true CN109474601B (zh) 2021-06-01

Family

ID=65673321

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811415741.0A Active CN109474601B (zh) 2018-11-26 2018-11-26 一种基于行为识别的扫描类攻击处置方法

Country Status (1)

Country Link
CN (1) CN109474601B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109951368B (zh) * 2019-05-07 2021-07-30 百度在线网络技术(北京)有限公司 控制器局域网的防扫描方法、装置、设备及存储介质
CN113791943A (zh) * 2020-11-12 2021-12-14 北京沃东天骏信息技术有限公司 网站实时监控方法、系统、设备及存储介质
CN113923039B (zh) * 2021-10-20 2023-11-28 北京知道创宇信息技术股份有限公司 攻击设备识别方法、装置、电子设备及可读存储介质
CN116302847B (zh) * 2023-05-19 2023-08-04 智慧眼科技股份有限公司 异常信息的动态采集方法、装置、计算机设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345755A (zh) * 2008-08-29 2009-01-14 中兴通讯股份有限公司 一种防止地址解析协议报文攻击的方法和系统
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN106101071A (zh) * 2016-05-27 2016-11-09 杭州安恒信息技术有限公司 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN106657126A (zh) * 2017-01-05 2017-05-10 盛科网络(苏州)有限公司 检测及防御DDoS攻击的装置及方法
CN107135212A (zh) * 2017-04-25 2017-09-05 武汉大学 一种基于行为差异的Web环境下的人机识别装置及方法
CN108234462A (zh) * 2017-12-22 2018-06-29 杭州安恒信息技术有限公司 一种基于云防护的智能拦截威胁ip的方法
CN108259425A (zh) * 2016-12-28 2018-07-06 阿里巴巴集团控股有限公司 攻击请求的确定方法、装置及服务器
CN108471429A (zh) * 2018-06-29 2018-08-31 北京奇虎科技有限公司 一种网络攻击告警方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345755A (zh) * 2008-08-29 2009-01-14 中兴通讯股份有限公司 一种防止地址解析协议报文攻击的方法和系统
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN106101071A (zh) * 2016-05-27 2016-11-09 杭州安恒信息技术有限公司 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN108259425A (zh) * 2016-12-28 2018-07-06 阿里巴巴集团控股有限公司 攻击请求的确定方法、装置及服务器
CN106657126A (zh) * 2017-01-05 2017-05-10 盛科网络(苏州)有限公司 检测及防御DDoS攻击的装置及方法
CN107135212A (zh) * 2017-04-25 2017-09-05 武汉大学 一种基于行为差异的Web环境下的人机识别装置及方法
CN108234462A (zh) * 2017-12-22 2018-06-29 杭州安恒信息技术有限公司 一种基于云防护的智能拦截威胁ip的方法
CN108471429A (zh) * 2018-06-29 2018-08-31 北京奇虎科技有限公司 一种网络攻击告警方法及系统

Also Published As

Publication number Publication date
CN109474601A (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
CN109474601B (zh) 一种基于行为识别的扫描类攻击处置方法
CN109951500B (zh) 网络攻击检测方法及装置
US11483343B2 (en) Phishing detection system and method of use
US9602525B2 (en) Classification of malware generated domain names
KR101689296B1 (ko) 보안이벤트 자동 검증 방법 및 장치
US8931099B2 (en) System, method and program for identifying and preventing malicious intrusions
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
US8844034B2 (en) Method and apparatus for detecting and defending against CC attack
EP2805286B1 (en) Online fraud detection dynamic scoring aggregation systems and methods
US10469526B2 (en) Cyberattack prevention system
Al-Hammadi et al. DCA for bot detection
CN108664793B (zh) 一种检测漏洞的方法和装置
CN108390864B (zh) 一种基于攻击链行为分析的木马检测方法及系统
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
WO2011025420A1 (en) Method and arrangement for detecting fraud in telecommunication networks.
US20230053182A1 (en) Network access anomaly detection via graph embedding
CN110061998B (zh) 一种攻击防御方法及装置
US11258768B2 (en) Optimization of the isolation and disabling of unauthorized applications by detection of false positives
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
KR101576993B1 (ko) 캡차를 이용한 아이디도용 차단방법 및 차단 시스템
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN113992423B (zh) 一种计算机网络防火墙的使用方法
CN115102727A (zh) 基于动态ip黑名单的网络入侵主动防御系统及方法
CN114003904A (zh) 情报共享方法、装置、计算机设备及存储介质
CN115373834A (zh) 一种基于进程调用链的入侵检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant