CN109474601B - 一种基于行为识别的扫描类攻击处置方法 - Google Patents
一种基于行为识别的扫描类攻击处置方法 Download PDFInfo
- Publication number
- CN109474601B CN109474601B CN201811415741.0A CN201811415741A CN109474601B CN 109474601 B CN109474601 B CN 109474601B CN 201811415741 A CN201811415741 A CN 201811415741A CN 109474601 B CN109474601 B CN 109474601B
- Authority
- CN
- China
- Prior art keywords
- frequency
- scanning
- time
- attack
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于行为识别的扫描类攻击处置方法,统计t时间内所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c,若满足告警规则且存在任一IP触发拦截机制,则对此IP进行扫描IP威胁情报库匹配,无匹配项时对当前IP直接拦截时间T并将当前IP及关联信息更新至扫描IP威胁情报库,当有匹配项时,查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,以其平方值对当前IP进行拦截,更新数据。本发明采用行为识别的算法匹配扫描行为,准确率高,参考异常访问频次a、错误状态码触发频次b和攻击行为频次c的数据,出现误报的概率低,在可控时间内完成扫描行为的识别和拦截,识别速度快。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种误报率和漏报率都较低的基于行为识别的扫描类攻击处置方法。
背景技术
网络技术的应用已深刻影响、改变了人们的生产方式和生活方式,推动了社会各个方面的进步与发展,并在国民经济各个领域起着重要的推动和支撑作用。随着网络化程度的加深,黑客为了牟取利益,对于互联网的攻击也逐渐升级。
现有技术中,黑客在攻击互联网网站时,一般会先使用自动化扫描工具对目标服务器进行探测和踩点,以获取对实施攻击有价值的漏洞和信息,为下一步实施攻击做好准备,通过自动化工具攻击使得攻击成本变低;同时,国内众多监管机构也对互联网网站进行监测与检查,以发现网站服务器漏洞,通过数据分析扫描攻击占整体攻击的比例为90%,因此对扫描类攻击需要有效防护。
专利号为201210313458.3的发明公开了一种判定自动扫描行为的方法及装置专利,该方法包括:在设定周期内,采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息;将设定周期等分为至少两个设定子周期,依次统计每个设定子周期内访问请求消息的个数,确定选定发送端的请求可信值;统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数,确定选定发送端的响应可信值;根据确定的请求可信值、响应可信值、第一权重和第二权重,计算在设定周期内选定发送端的综合评估值;将综合评估值与第一设定阈值进行比较,判定选定发送端是否发生了自动扫描行为。
然而,这篇专利中只判断了请求消息和响应消息的统计,并没有说明其具体比例,除此之外,技术方案中也没有对访问文件中缺少图片和样式文件的访问判断和访问攻击的比例进行判断,当采用对一定时间内发起请求的频率进行识别时,极容易造成扫描类攻击的误报及漏报。误报,指对于某些出口IP访问量比较大的会误拦截,而漏报,指当攻击者将频率调低后将无法识别。
发明内容
为了解决现有技术中,对于扫描类攻击的误报率和漏报率较高的问题,本发明提供一种优化的基于行为识别的扫描类攻击处置方法。
本发明所采用的技术方案是,一种基于行为识别的扫描类攻击处置方法,所述方法包括以下步骤:
步骤1:统计t时间内,所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c;0<t≤2min;
步骤2:若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则,告警;
步骤3:当存在任一IP触发拦截机制,进行下一步,否则,返回步骤1;
步骤4:对步骤3的IP进行扫描IP威胁情报库匹配,如无匹配项,则对当前IP直接拦截时间T,将当前IP及关联信息更新至扫描IP威胁情报库,返回步骤1,如有匹配项,进行下一步;T>0;
步骤5:查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,对当前IP拦截时间T’,T’=T n ² ;
步骤6:将T’更新至扫描IP威胁情报库并与当前IP对应,返回步骤1。
优选地,所述步骤2中,在t时间内,任一IP对样式图片类资源访问次数为0,则异常访问频次a满足告警规则。
优选地,所述步骤2中,在t时间内,任一IP触发的首位为4的状态码的个数占所有IP访问所述网页返回的状态码的个数的百分比超过m,则错误状态码触发频次b满足告警规则;0<m≤100%。
优选地,所述m为40%。
优选地,所述步骤2中,在t时间内,任一IP对所述网页发起攻击且攻击行为的次数占所述IP访问所述网页的次数的百分比超过n,则攻击行为频次c满足告警规则;0<n≤100%。
优选地,所述n为40%。
优选地,所述t为1min。
优选地,所述步骤3中,拦截机制为异常访问频次a和错误状态码触发频次b同时满足告警规则,或攻击行为频次c满足告警规则。
优选地,所述步骤4中,时间T为600s。
优选地,所述扫描IP威胁情报库包括扫描时间、IP、IP所属区域、扫描域名和IP最近一次拦截时间。
本发明提供了一种优化的基于行为识别的扫描类攻击处置方法,通过统计t时间内所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c,若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则且存在任一IP触发拦截机制,则首先对此IP进行扫描IP威胁情报库匹配,无匹配项时对当前IP直接拦截时间T并将当前IP及关联信息更新至扫描IP威胁情报库,而当有匹配项时,查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,以其平方值对当前IP进行拦截,更新数据。
本发明区别于传统的基于速率的识别方法,采用行为识别的算法匹配扫描行为,准确率高,参考异常访问频次a、错误状态码触发频次b和攻击行为频次c的数据,出现误报的概率低,在可控时间内完成扫描行为的识别和拦截,识别速度快。
附图说明
图1为本发明的方法流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于行为识别的扫描类攻击处置方法,事实上包括扫描行为发现和扫描行为拦截两个模块,前者用于发现扫描行为,后者用于对扫描行为进行拦截。
本发明中,扫描行为一般由黑客通过自动化扫描发起,自动化扫描是指采用自动化扫描工具对目标网站服务器发起扫描攻击,通过对服务器的响应内容进行判断存在哪些漏洞,便于黑客的后续攻击行为的发起。
所述方法包括以下步骤。
步骤1:统计t时间内,所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c;0<t≤2min。
所述t为1min。
本发明中,步骤1是在访问某一个特定的网站的所有IP中挑出一个或几个存在攻击行为的IP并进行数据统计的过程。
本发明中,时间t为1min为预设值,本领域技术人员可以依据需求自行设置,当然,在兼顾到扫描频率和处置时间的情况下,t为1min为较理想的值。
本发明中,异常访问频次a、错误状态码触发频次b和攻击行为频次c在超过预设时间后会归零,然后再重新统计。
步骤2:若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则,告警。
所述步骤2中,在t时间内,任一IP对样式图片类资源访问次数为0,则异常访问频次a满足告警规则。
所述步骤2中,在t时间内,任一IP触发的首位为4的状态码的个数占所有IP访问所述网页返回的状态码的个数的百分比超过m,则错误状态码触发频次b满足告警规则;0<m≤100%。
所述m为40%。
所述步骤2中,在t时间内,任一IP对所述网页发起攻击且攻击行为的次数占所述IP访问所述网页的次数的百分比超过n,则攻击行为频次c满足告警规则;0<n≤100%。
所述n为40%。
本发明中,以告警作为门槛,当某个检测项处于危险状态下,首先发起告警,随后判断是否存在需要拦截的情况。
本发明中,正常的浏览器在访问网站时通常会根据访问资源自动调用和访问css、js等样式和图片类资源,以渲染和呈现整体页面内容,而黑客使用的扫描器在扫描网站时只针对htm、html、shtml、asp、jsp、php等页面发起访问,不会调用和访问样式和图片类资源,因此,对所有IP在1分钟内的访问行为进行分析,当发现某个IP在1分钟内不对样式图片类资源访问时,即异常访问频次a满足告警规则,进行告警。
本发明中,扫描类攻击通常会对常用页面发起探测访问,当服务器接收到不存在页面的访问时会响应首位为4的错误状态码,对所有IP在1分钟内触发首位为4的错误状态码进行统计分析,当某个IP的首位为4的错误状态码的个数占总访问数的比例超过m时进行告警;一般情况下,m值为40%。
本发明中,首位为4的状态码表示客户端/请求异常。
本发明中,扫描器对网站目录和页面探测完成后,会对页面发起攻击特征,因此攻击行为会占整体访问的较高比例,当任一IP对网页发起攻击且攻击行为的次数占此IP访问网页的次数的百分比超过n时进行告警;一般情况下,n值为40%。
本发明中,攻击特征是指采用自动化扫描工具在扫描过程中触发防护系统的特征。
步骤3:当存在任一IP触发拦截机制,进行下一步,否则,返回步骤1。
所述步骤3中,拦截机制为异常访问频次a和错误状态码触发频次b同时满足告警规则,或攻击行为频次c满足告警规则。
步骤4:对步骤3的IP进行扫描IP威胁情报库匹配,如无匹配项,则对当前IP直接拦截时间T,将当前IP及关联信息更新至扫描IP威胁情报库,返回步骤1,如有匹配项,进行下一步;T>0。
所述步骤4中,时间T为600s。
所述扫描IP威胁情报库包括扫描时间、IP、IP所属区域、扫描域名和IP最近一次拦截时间。
步骤5:查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,对当前IP拦截时间T’,T’=T n ² 。
步骤6:将T’更新至扫描IP威胁情报库并与当前IP对应,返回步骤1。
本发明中,当被拦截IP仍发起扫描行为时,则启动惩罚机制,阻断时间为上一次拦截时间的平方,即T’=T n ² 。
本发明中,构建扫描IP威胁情报库有利于情报分析,可以更快速地发现和拦截扫描IP。
本发明通过统计t时间内所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c,若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则且存在任一IP触发拦截机制,则首先对此IP进行扫描IP威胁情报库匹配,无匹配项时对当前IP直接拦截时间T并将当前IP及关联信息更新至扫描IP威胁情报库,而当有匹配项时,查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,以其平方值对当前IP进行拦截,更新数据。
本发明区别于传统的基于速率的识别方法,采用行为识别的算法匹配扫描行为,准确率高,参考异常访问频次a、错误状态码触发频次b和攻击行为频次c的数据,出现误报的概率低,在可控时间内完成扫描行为的识别和拦截,识别速度快。
Claims (8)
1.一种基于行为识别的扫描类攻击处置方法,其特征在于:所述方法包括以下步骤:
步骤1:统计t时间内,所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c;0<t≤2min;
步骤2:若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则,告警;在t时间内,任一IP对样式图片类资源访问次数为0,则异常访问频次a满足告警规则;
步骤3:当存在任一IP触发拦截机制,进行下一步,否则,返回步骤1;拦截机制为异常访问频次a和错误状态码触发频次b同时满足告警规则,或攻击行为频次c满足告警规则;
步骤4:对步骤3的IP进行扫描IP威胁情报库匹配,如无匹配项,则对当前IP直接拦截时间T,将当前IP及关联信息更新至扫描IP威胁情报库,返回步骤1,如有匹配项,进行下一步;T>0;
步骤5:查询扫描IP威胁情报库中当前IP上一次被拦截的时间T n ,对当前IP拦截时间T’,T’=T n ² ;
步骤6:将T’更新至扫描IP威胁情报库并与当前IP对应,返回步骤1。
2.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述步骤2中,在t时间内,任一IP触发的首位为4的状态码的个数占所有IP访问所述网页返回的状态码的个数的百分比超过m,则错误状态码触发频次b满足告警规则;0<m≤100%。
3.根据权利要求2所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述m为40%。
4.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述步骤2中,在t时间内,任一IP对所述网页发起攻击且攻击行为的次数占所述IP访问所述网页的次数的百分比超过n,则攻击行为频次c满足告警规则;0<n≤100%。
5.根据权利要求4所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述n为40%。
6.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述t为1min。
7.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述步骤4中,时间T为600s。
8.根据权利要求1所述的一种基于行为识别的扫描类攻击处置方法,其特征在于:所述扫描IP威胁情报库包括扫描时间、IP、IP所属区域、扫描域名和IP最近一次拦截时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811415741.0A CN109474601B (zh) | 2018-11-26 | 2018-11-26 | 一种基于行为识别的扫描类攻击处置方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811415741.0A CN109474601B (zh) | 2018-11-26 | 2018-11-26 | 一种基于行为识别的扫描类攻击处置方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109474601A CN109474601A (zh) | 2019-03-15 |
CN109474601B true CN109474601B (zh) | 2021-06-01 |
Family
ID=65673321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811415741.0A Active CN109474601B (zh) | 2018-11-26 | 2018-11-26 | 一种基于行为识别的扫描类攻击处置方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109474601B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951368B (zh) * | 2019-05-07 | 2021-07-30 | 百度在线网络技术(北京)有限公司 | 控制器局域网的防扫描方法、装置、设备及存储介质 |
CN113791943A (zh) * | 2020-11-12 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 网站实时监控方法、系统、设备及存储介质 |
CN113923039B (zh) * | 2021-10-20 | 2023-11-28 | 北京知道创宇信息技术股份有限公司 | 攻击设备识别方法、装置、电子设备及可读存储介质 |
CN116302847B (zh) * | 2023-05-19 | 2023-08-04 | 智慧眼科技股份有限公司 | 异常信息的动态采集方法、装置、计算机设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101345755A (zh) * | 2008-08-29 | 2009-01-14 | 中兴通讯股份有限公司 | 一种防止地址解析协议报文攻击的方法和系统 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN106101071A (zh) * | 2016-05-27 | 2016-11-09 | 杭州安恒信息技术有限公司 | 一种基于行为触发的防御链路耗尽型cc攻击的方法 |
CN106657126A (zh) * | 2017-01-05 | 2017-05-10 | 盛科网络(苏州)有限公司 | 检测及防御DDoS攻击的装置及方法 |
CN107135212A (zh) * | 2017-04-25 | 2017-09-05 | 武汉大学 | 一种基于行为差异的Web环境下的人机识别装置及方法 |
CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
CN108259425A (zh) * | 2016-12-28 | 2018-07-06 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
-
2018
- 2018-11-26 CN CN201811415741.0A patent/CN109474601B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101345755A (zh) * | 2008-08-29 | 2009-01-14 | 中兴通讯股份有限公司 | 一种防止地址解析协议报文攻击的方法和系统 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN106101071A (zh) * | 2016-05-27 | 2016-11-09 | 杭州安恒信息技术有限公司 | 一种基于行为触发的防御链路耗尽型cc攻击的方法 |
CN108259425A (zh) * | 2016-12-28 | 2018-07-06 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
CN106657126A (zh) * | 2017-01-05 | 2017-05-10 | 盛科网络(苏州)有限公司 | 检测及防御DDoS攻击的装置及方法 |
CN107135212A (zh) * | 2017-04-25 | 2017-09-05 | 武汉大学 | 一种基于行为差异的Web环境下的人机识别装置及方法 |
CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
CN108471429A (zh) * | 2018-06-29 | 2018-08-31 | 北京奇虎科技有限公司 | 一种网络攻击告警方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109474601A (zh) | 2019-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109474601B (zh) | 一种基于行为识别的扫描类攻击处置方法 | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
US11483343B2 (en) | Phishing detection system and method of use | |
US9602525B2 (en) | Classification of malware generated domain names | |
CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
US8844034B2 (en) | Method and apparatus for detecting and defending against CC attack | |
EP2805286B1 (en) | Online fraud detection dynamic scoring aggregation systems and methods | |
US10469526B2 (en) | Cyberattack prevention system | |
Al-Hammadi et al. | DCA for bot detection | |
CN108390864B (zh) | 一种基于攻击链行为分析的木马检测方法及系统 | |
CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
US20230053182A1 (en) | Network access anomaly detection via graph embedding | |
CN110061998B (zh) | 一种攻击防御方法及装置 | |
CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
WO2011025420A1 (en) | Method and arrangement for detecting fraud in telecommunication networks. | |
CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
CN113992423B (zh) | 一种计算机网络防火墙的使用方法 | |
US11258768B2 (en) | Optimization of the isolation and disabling of unauthorized applications by detection of false positives | |
CN115373834A (zh) | 一种基于进程调用链的入侵检测方法 | |
CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
CN115208593B (zh) | 安全性监测方法、终端及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |