CN111314326A - Http漏洞扫描主机的确认方法、装置、设备及介质 - Google Patents
Http漏洞扫描主机的确认方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN111314326A CN111314326A CN202010078165.6A CN202010078165A CN111314326A CN 111314326 A CN111314326 A CN 111314326A CN 202010078165 A CN202010078165 A CN 202010078165A CN 111314326 A CN111314326 A CN 111314326A
- Authority
- CN
- China
- Prior art keywords
- http
- host
- vulnerability scanning
- request
- sensitive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种HTTP漏洞扫描主机的确认方法、装置、终端设备和计算机可读存储介质,本发明通过调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。本发明避免了传统发现利用HTTP协议进行漏洞扫描的主机的方式,需要花费人力资源且识别准确率低下的问题,提升了HTTP漏洞扫描主机的确认效率。
Description
技术领域
本发明涉及系统管理技术领域,尤其涉及一种HTTP漏洞扫描主机的确认方法、装置、终端设备及计算机可读存储介质。
背景技术
目前,在常见网络攻击场景中,攻击者为了攻陷一台运行网络服务的主机(如网站服务器),需要事先使用HTTP(Hyper Text Transfer Protocol:超文本传输协议)协议扫描目的主机,以识别潜在的漏洞进行恶意攻击。因此,针对上述攻击方式,通过检测正在进行HTTP扫描的主机(即攻击者使用的设备),就可以很好地防御此种来自内网内部或互联网的网络攻击。
然而,时下识别发现利用HTTP协议进行漏洞扫描的主机的方式,主要是通过扫描字典匹配或者敏感路径匹配两种方式,而通过扫描字典匹配只能对已知扫描工具进行识别,需要花费大量人力去分析提取各工具使用的扫描字典,泛化能力差,此外,基于敏感路径匹配又只能识别与已知的漏洞或后门相关的访问路径,且即使是正常访问也可能触发敏感路径,极易出现误报情况。
结合上述,现有识别发现利用HTTP协议进行漏洞扫描的主机的方式,需要耗费大量人力资源,且难以准确识别,效率低下。
发明内容
本发明的主要目的在于提出一种HTTP漏洞扫描主机的确认方法、装置、终端设备及计算机可读存储介质,旨在解决现有识别发现利用HTTP协议进行漏洞扫描的主机的方式,需要耗费大量人力资源,且难以准确识别,效率低下的技术问题。
为实现上述目的,本发明提供一种HTTP漏洞扫描主机的确认方法,所述HTTP漏洞扫描主机的确认方法包括如下步骤:
调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;
在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;
分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,在所述分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描的步骤之前,还包括:
对提取出的所述HTTP敏感日志进行分类聚合得到第一类别HTTP敏感日志和第二类别HTTP敏感日志;
相应的,所述分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描,包括:
分别对第一类别HTTP敏感日志和第二类别HTTP敏感日志进行分析以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,所述第一类别HTTP敏感日志为记录多条请求路径的HTTP日志,
对第一类别HTTP敏感日志进行分析,包括:
采集所述主机的历史行为学特征,根据所述历史行为学特征排除多条所述请求路径中的部分路径;
从排除所述部分路径后剩余的多条请求路径中,提取出符合预设路径特征的目标请求路径;
对记录所述目标请求路径的所述第一类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,所述历史行为学特征为记录基于HTTP进行正常访问的行为特征,
所述根据所述历史行为学特征排除多条所述请求路径中的部分路径的步骤,包括:
根据记录的基于HTTP进行正常访问的行为特征,从多条所述请求路径中,排除属于正常访问的部分路径。
优选地,所述路径特征路径相似度是否大于预设阈值;
所述从排除所述部分路径后剩余的多条请求路径中,提取出符合预设路径特征的目标请求路径的步骤,包括:
逐一对比排除所述部分路径后剩余的多条请求路径与预设路径之间的相似度,并提取出所述相似度大于预设阈值的目标请求路径。
优选地,所述对记录所述目标请求路径的所述第一类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描的步骤,包括:
识别记录所述目标请求路径的所述第一类别HTTP敏感日志的生成时间点;
根据所述生成时间点检测所述主机发起所述HTTP流量数据的请求频率;
若检测到所述请求频率超过预设频率,确定所述主机利用HTTP进行漏洞扫描;
若检测到所述请求频率未超过预设频率,确定所述主机未利用HTTP进行漏洞扫描。
优选地,所述第二类别HTTP敏感日志为记录唯一请求路径的HTTP日志,
对第二类别HTTP敏感日志进行分析,包括:
对所述第二类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,所述调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志的步骤,包括:
保留各所述HTTP流量数据中,所述主机发起的各请求信息和接收到与所述请求信息对应的返回头字段信息;
将所述请求信息和对应的所述返回头字段信息封装为HTTP日志,以得到各请求信息对应的HTTP日志。
优选地,所述在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志的步骤,包括:
将所述请求信息和所述返回头字段信息均符合所述预设条件的所述HTTP日志作为所述HTTP敏感日志,并提取出所述HTTP敏感日志,其中,所述预设条件为利用HTTP进行恶意扫描的行为特征;
优选地,所述行为特征包括:HTTP状态码、请求文件后缀和/或请求参数数量。
此外,为实现上述目的,本发明还提供一种HTTP漏洞扫描主机的确认装置,所述HTTP漏洞扫描主机的确认装置包括:
审计模块,用于调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;
提取模块,用于在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;
确定模块,用于分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
此外,为实现上述目的,本发明还提供一种HTTP漏洞扫描主机的确认设备,所述HTTP漏洞扫描主机的确认设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的HTTP漏洞扫描主机的确认程序,所述HTTP漏洞扫描主机的确认程序被所述处理器执行时实现如上所述的HTTP漏洞扫描主机的确认方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有HTTP漏洞扫描主机的确认程序,所述HTTP漏洞扫描主机的确认程序被处理器执行时实现如上所述的HTTP漏洞扫描主机的确认方法的步骤。
本发明通过调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
本发明通过调用具备流量数据审计功能的预设镜像设备对基于HTTP协议构建标准各客户端和服务器模型中,各客户端主机所发起的HTTP流量数据进行审计,并在经过预设镜像设备审计保留的各HTTP日志中,识别提取出符合依据恶意扫描特征所设置的预设条件的敏感日志,最后结合对提取出的敏感日志进行特征分析,从而确定预设镜像设备进行HTTP流量数据审计的客户端主机是否为利用HTTP进行漏洞扫描主机。
本发明实现了,结合客户端主机所发起的HTTP流量数据的多维度特征进行主机利用HTTP进行漏洞扫描的确认,无需花费大量人力资源进行扫描字典的识别,且能够分析识别出未知漏洞或者后门相关的恶意请求路径,避免了传统发现利用HTTP协议进行漏洞扫描的主机的方式,需要花费人力资源且发现识别准确率低下的问题,提升了对主机利用HTTP进行漏洞扫描的确认效率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的HTTP漏洞扫描主机的确认设备结构示意图;
图2为本发明HTTP漏洞扫描主机的确认方法一实施例的流程示意图;
图3为本发明HTTP漏洞扫描主机的确认方法另一实施例的流程示意图;
图4为本发明HTTP漏洞扫描主机的确认方法一实施例中识别确认利用HTTP进行漏洞扫描的流程示意图;
图5为本发明HTTP漏洞扫描主机的确认装置一实施例的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
目前,通过扫描字典匹配只能对已知扫描工具进行识别,需要花费大量人力去分析提取各工具使用的扫描字典,泛化能力差,此外,基于敏感路径匹配又只能识别与已知的漏洞或后门相关的访问路径,且即使是正常访问也可能触发敏感路径,极易出现误报情况,因此,现有识别发现利用HTTP协议进行漏洞扫描的主机的方式,需要耗费大量人力资源,且难以准确识别,效率低下。
本发明提供的HTTP漏洞扫描主机的确认方法,通过调用具备流量数据审计功能的预设镜像设备对基于HTTP协议构建标准各客户端和服务器模型中,各客户端主机所发起的HTTP流量数据进行审计,并在经过预设镜像设备审计保留的各HTTP日志中,识别提取出符合依据恶意扫描特征所设置的预设条件的敏感日志,最后结合对提取出的敏感日志进行特征分析,从而确定预设镜像设备进行HTTP流量数据审计的客户端主机是否为利用HTTP进行漏洞扫描的主机。实现了,结合客户端主机所发起的HTTP流量数据的多维度特征进行主机利用HTTP进行漏洞扫描的确认,无需花费大量人力资源进行扫描字典的识别,且能够分析识别出未知漏洞或者后门相关的恶意请求路径,避免了传统发现利用HTTP协议进行漏洞扫描的主机的方式,需要花费人力资源且发现识别准确率低下的问题,提升了对主机利用HTTP进行漏洞扫描的确认效率。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端设备结构示意图。
本发明实施例终端设备可以是搭载了虚拟化平台的PC机或服务器(如X86服务器)等终端设备。
如图1所示,该终端设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及HTTP漏洞扫描主机的确认程序。
在图1所示的终端设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的HTTP漏洞扫描主机的确认程序,并执行以下安全组件的权限配置方法实施例中的操作。
基于上述硬件结构,提出本发明HTTP漏洞扫描主机的确认方法实施例。
参照图2,图2为本发明HTTP漏洞扫描主机的确认方法一种实施例的流程示意图,所述方法包括:
步骤S10,调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志。
本实施例中,预设镜像设备具体可以为“旁路镜像设备”,其用于安装在内网出口交换机上,以被调用对基于HTTP协议构建的标准各客户端和服务器模型中,各客户端主机所发起并流经该内网出口交换机的HTTP流量数据进行初步审计。
需要说明的是,本实施例中,预设镜像设备可以为任意具备对HTTP流量数据执行审计功能的工具,应当理解的是,本发明HTTP漏洞扫描主机的确认方法并不对所调用的具备审计功能的具体工具进行限定。
步骤S20,在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志。
需要说明的是,本实施例中,预设条件为预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置的条件,应当理解的是,本发明HTTP漏洞扫描主机的确认方法并不对设置预设条件所结合的研究人员提取的具体经验特征进行限定。
本实施例中,在调用预设镜像设备对客户端主机所发起HTTP流量数据进行初步审计之后,在经过审计保留的各信息所封装形成的各HTTP日志当中,识别并提取出符合该预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置条件的敏感日志。
步骤S30,分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
本实施例中,在从经过调用预设镜像设备进行审计保留的各HTTP日志中,识别并提取出符合预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置条件的敏感日志之后,进一步对识别提取的各敏感日志进行特征分析,从而确定基于HTTP协议构建的标准各客户端和服务器模型中,发起请求的客户端主机是否为利用HTTP进行漏洞扫描的主机。
需要说明的是,本实施例中,参照如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程,本发明HTTP漏洞扫描主机的确认方法对识别提取的各敏感日志进行特征分析,包括但不限于对记载单源主机单目的IP(Internet Protocol:网络之间互连的协议)多路径的敏感日志进行历史行为分析、路径特征分析和时域分析,以及仅对单源主机多目的IP单路径的敏感日志进行时域分析,应当理解的是,本发明HTTP漏洞扫描主机的确认方法并不对需要进行的特征分析的种类以及分析顺序进行限定。
本实施例中,通过调用预先安装在内网出口交换机上的镜像设备,对基于HTTP协议构建的标准各客户端和服务器模型中,各客户端主机所发起并流经该内网出口交换机的HTTP流量数据进行初步审计,然后在经过审计保留的各信息所封装形成的各HTTP日志当中,识别并提取出符合该预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置条件的敏感日志,在从经过调用预设镜像设备进行审计保留的各HTTP日志中,识别并提取出符合预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置条件的敏感日志之后,进一步对识别提取的各敏感日志进行特征分析,从而确定基于HTTP协议构建的标准各客户端和服务器模型中,发起请求的客户端主机是否为利用HTTP进行漏洞扫描的主机。
实现了,结合客户端主机所发起的HTTP流量数据的多维度特征进行HTTP漏洞扫描主机的确认,无需花费大量人力资源进行扫描字典的识别,且能够分析识别出未知漏洞或者后门相关的恶意请求路径,避免了传统发现利用HTTP协议进行漏洞扫描的主机的方式,需要花费人力资源且发现识别识别准确率低下的问题,提升了HTTP漏洞扫描主机的确认效率。
基于上述本发明HTTP漏洞扫描主机的确认方法的实施例,提出本发明HTTP漏洞扫描主机的确认方法的另一种实施例,在本实施例中,上述步骤S10,调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志,可以包括:
步骤S101,保留各所述HTTP流量数据中,所述主机发起的各请求信息和接收到与所述请求信息对应的返回头字段信息;
步骤S102,将所述请求信息和对应的所述返回头字段信息封装为HTTP日志,以得到各请求信息对应的HTTP日志。
具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,在基于HTTP协议构建的标准各客户端和服务器模型中,调用预先安装在内网出口交换机上的旁路镜像设备,对各客户端主机所请求发起的HTTP流量数据进行初步审计,并仅审计保留该HTTP流量数据中,客户端主机发起的请求信息,和服务器或者其他客户端主机基于该请求信息应答反馈的HTTP状态码等返回头字段信息,然后将经过审计保留的该请求信息和该返回头字段信息封装存储为各客户端主机发起请求的各HTTP日志。
本实施例中,调用旁路镜像设备在对各客户端主机请求发起的HTTP流量数据进行初步审计时,只保留该HTTP流量数据的请求和返回头字段信息,不仅减少了调用旁路镜像设备进行审计的计算压力,保证了HTTP流量审计的基本速率,更减少了最终HTTP日志所占用的存储空间。
基于上述本发明HTTP漏洞扫描主机的确认方法的实施例,提出本发明HTTP漏洞扫描主机的确认方法的另一种实施例,在本实施例中,上述步骤S20,在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志,可以包括:
步骤S201,将所述请求信息和所述返回头字段信息均符合所述预设条件的所述HTTP日志作为所述HTTP敏感日志,并提取出所述HTTP敏感日志。
需要说明的是,本实施例中,预设条件为预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置的条件,研究人员所提取的利用HTTP进行恶意扫描的行为特征,包括但不限于:HTTP状态码、请求文件后缀、请求参数数量等简单的特征,应当理解的是,基于确认HTTP敏感日志的需求,本领域技术人员当然可以采用不同于本实施例中所列举的其他利用HTTP进行恶意扫描的行为特征,因此,本发明HTTP漏洞扫描主机的确认方法并不对设置预设条件所结合的研究人员提取的具体行为特征进行限定。
逐一识别各HTTP日志携带的请求信息和返回头字段信息,将识别到的请求信息和返回头字段信息均符合预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置的条件的HTTP日志作为HTTP敏感日志,并提取出该HTTP敏感日志。
具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,在调用预先安装在内网出口交换机上的旁路镜像设备,对各客户端主机所请求发起的HTTP流量数据进行初步审计,并将经过审计保留的该请求信息和返回头字段信息封装存储为各客户端主机发起请求的各HTTP日志之后,在该各HTTP日志中,逐一识别各HTTP日志所封装携带的请求信息的请求文件后缀、请求参数数量,以及各HTTP日志所封装携带的返回头字段信息的HTTP状态码等特征;将识别到的各HTTP日志中所封装携带的请求信息的请求文件后缀、请求参数数量,以及各HTTP日志所封装携带的返回头字段信息的HTTP状态码等特征,均不符合预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置条件的HTTP日志(如:HTTP状态码表示为“请求异常”、请求参数数量超过正常网络请求的参数数量),确定为HTTP敏感日志,并从该各HTTP日志中提取出确定的各HTTP敏感日志。
本实施例中,结合研究人员提取的利用HTTP进行恶意扫描的行为特征对所形成HTTP日志进行过滤提取,即通过识别诸如HTTP状态码、请求文件后缀、请求参数数量等简单的特征是否符合预设条件,从而对HTTP日志进行进一步筛选,进一步提升了对主机利用HTTP进行漏洞扫描的确认效率。
进一步地,参照图3,图3为本发明HTTP漏洞扫描主机的确认方法另一种实施例的流程示意图。
基于上述本发明HTTP漏洞扫描主机的确认方法的实施例,提出本发明HTTP漏洞扫描主机的确认方法的另一种实施例,在本实施例中,在上述实施例的步骤S30,分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描之前,本发明HTTP漏洞扫描主机的确认方法,还可以包括:
步骤S40,对提取出的所述HTTP敏感日志进行分类聚合得到第一类别HTTP敏感日志和第二类别HTTP敏感日志。
本实施例中,在进一步对识别提取的各敏感日志进行特征分析之前,按照客户端主机的IP,将识别提取的各敏感日志进行分类聚合,从而得到同一客户端主机的第一类别HTTP敏感日志和第二类别HTTP敏感日志。
需要说明的是,本实施例中,第一类别HTTP敏感日志为记录多条请求路径的HTTP日志,即第一类别HTTP敏感日志记录的是同一客户端主机通过多条不同请求路径请求访问同一服务器或者同一其他客户端主机,第二类别HTTP敏感日志为记录唯一请求路径的HTTP日志,即第二类别HTTP敏感日志记录的是同一客户端主机通过同一条请求路径请求访问不同服务器或者不同其他客户端主机。
具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,在基于对HTTP日志中所封装携带的请求信息的请求文件后缀、请求参数数量,以及各HTTP日志所封装携带的返回头字段信息的HTTP状态码等特征进行识别检测,从而提取出不符合预先结合研究人员提取的利用HTTP进行恶意扫描的行为特征所设置条件的各HTTP敏感日志之后,同时根据同一客户端主机可能存在的两种访问模式,即同一客户端主机通过多条不同请求路径请求访问同一服务器或者同一其他客户端主机,和同一客户端主机通过同一条请求路径请求访问不同服务器或者不同其他客户端主机,将各敏感日志分类聚合为第一类别HTTP敏感日志和第二类别HTTP敏感日志,其中用第一类别HTTP敏感日志记录同一客户端主机请求访问同一服务器或者同一其他客户端主机的多条不同请求路径,并用第二类别HTTP敏感日志记录同一客户端主机请求访问不同服务器或者不同其他客户端主机的唯一一条请求路径。
具体地,作为一种实施例,上述步骤S30,可以包括:
步骤S301,分别对第一类别HTTP敏感日志和第二类别HTTP敏感日志进行分析以确认所述主机是否利用HTTP进行漏洞扫描。
具体地,作为一种实施例,上述步骤S301中,对第一类别HTTP敏感日志进行分析,可以包括:
步骤S3011,采集所述主机的历史行为学特征,根据所述历史行为学特征排除多条所述请求路径中,属于正常访问的部分路径。
需要说明的是,本实施例中,历史行为学特征为执行当前HTTP漏洞扫描主机的确认方法的终端设备所记录的,当前基于HTTP协议所构建各客户端和服务器模型中,各客户端主机在当前时刻之前所进行的各正常请求访问行为。
具体地,作为一种实施例,所述步骤S301中,根据所述历史行为学特征排除多条所述请求路径中,属于正常访问的部分路径的步骤,可以包括:
步骤A,根据记录的基于HTTP进行正常访问的行为特征,从多条所述请求路径中,排除属于正常访问的部分路径。
具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,在根据同一客户端主机可能存在的两种访问模式,将识别提取的各敏感日志分类聚合为“单源主机单目的IP多路径”的第一类别HTTP敏感日志,和“单源主机多目的IP单路径”的第二类别HTTP敏感日志之后,对“单源主机单目的IP多路径”的第一类别HTTP敏感日志进行历史行为分析,通过采集预先记录的各客户端主机各正常请求访问行为,将该第一类别HTTP敏感日志所记录的多条请求路径中,与该正常请求访问行为所依据的请求路径相同,即属于正常访问的部分路径进行筛除。
需要说明的是,通常来说,攻击者在基于客户端主机进行恶意HTTP扫描时,不需要频繁地对一台靶机反复扫描,一般来说只需一两次相对完整的扫描即可获得所需信息。因此如果检测到客户端主机对一台主机或者服务器的同一组请求路径的反复请求,则可以排除这种行为与恶意HTTP扫描的联系。基于此,本实施例中,为了提高对客户端主机是否利用HTTP进行漏洞扫描的识别确认准确率,基于收集学习各客户端主机在部署场景下的各正常请求访问行为,以识别一些在特定场景下客户端主机常访问的内网网站/论坛等站点,以从第一类别HTTP敏感日志记录的客户端主机多条访问路径中,筛除属于正常访问的部分路径,进而降低误报几率。
步骤S3012,从排除所述部分路径后剩余的多条请求路径中,提取出符合预设路径特征的目标请求路径。
需要说明的是,本实施例中,预设路径特征为,根据历史行为学特征排除部分路径后剩余的各请求路径与预设路径之间的相似度是否大于预设阈值,此外,预设路径为预先设置的能够体现客户端主机进行明显反常访问行为的请求路径,例如,将客户端主机扫描分属不同解释器家族网页文件的请求路径设置为预设路径。
具体地,作为一种实施例,步骤S302,可以包括:
步骤B,逐一对比排除所述部分路径后剩余的多条请求路径与预设路径之间的相似度,并提取出所述相似度大于预设阈值的目标请求路径。
具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,在筛除第一类别HTTP敏感日志所记录的客户端主机进行正常请求访问行为的部分路径之后,逐一检测对比第一类别HTTP敏感日志所记录的剩余各请求路径中,与客户端主机扫描分属不同解释器家族网页文件的请求路径之前的相似程度,然后提取出该第一类别HTTP敏感日志所记录的剩余各请求路径中,与客户端主机扫描分属不同解释器家族网页文件的请求路径之前的相似程度大于预设阈值的目标请求路径。
具体地,作为另一种实施例,本发明HTTP漏洞扫描主机的确认方法,还可以基于检测第一类别HTTP敏感日志所记录的剩余各请求路径所访问文件类型,是否明显反常,从而确定并提取目标请求路径。
具体地,例如,将检测到第一类别HTTP敏感日志所记录的剩余各请求路径中,在不同目录下反复寻找同一个文件名的文件(如命名为:admin.php的文件)的请求路径确定为目标请求路径。
步骤S3013,对记录所述目标请求路径的所述第一类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
需要说明的是,针对漏洞的恶意HTTP扫描与正常请求访问之间的一个典型区别为:客户端主机发起请求的频繁程度。本实施例中,对记录目标请求路径的第一类别HTTP敏感日志进行时域特征分析以确定客户端主机当前是否利用HTTP恶意的进行漏洞扫描。
具体地,作为一种实施例,上述步骤S3013,可以包括:
步骤C,识别记录所述目标请求路径的所述第一类别HTTP敏感日志的生成时间点;
步骤D,根据所述生成时间点检测所述主机发起所述HTTP流量数据的请求频率。
具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,在筛除第一类别HTTP敏感日志所记录的客户端主机进行正常请求访问行为的部分路径,并基于检测对比第一类别HTTP敏感日志所记录的剩余各请求路径中,与客户端主机扫描分属不同解释器家族网页文件的请求路径之前的相似程度,从而提取出目标请求路径之后,检测识别记录当前目标请求路径的各第一类别HTTP敏感日志的生成时间点,然后通过卷积、积分或者时间段内的流量数据的请求次数叠加等频率分析计算方式,识别计算各生成时间点所反映的客户端主机发起请求当前HTTP流量数据的请求频率。
步骤E,若检测到所述请求频率超过预设频率,确定所述主机利用HTTP进行漏洞扫描;
步骤F,若检测到所述请求频率未超过预设频率,确定所述主机未利用HTTP进行漏洞扫描。
具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,若通过卷积等方式识别到,各生成时间点所反映的客户端主机发起请求当前HTTP流量数据的请求频率大于预设频率,则确认当前客户端主机正利用HTTP恶意进行漏洞扫描,从而由当前执行发现检测的终端设备将识别确定的客户端主机上报,此外,若识别到各生成时间点所反映的客户端主机发起请求当前HTTP流量数据的请求频率小于或者等于预设频率,则确认当前客户端主机并未利用HTTP恶意进行漏洞扫描,从而放弃上报。
具体地,作为一种实施例,上述步骤S301中,对第二类别HTTP敏感日志进行分析,可以包括:
步骤S3014,对所述第二类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
由于第二类别HTTP敏感日志记录的是唯一请求路径的HTTP日志,即第二类别HTTP敏感日志记录的是同一客户端主机通过同一条请求路径请求访问不同服务器或者不同其他客户端主机的HTTP敏感日志,因此在分析该第二类别HTTP敏感日志以确认主机是否利用HTTP进行漏洞扫描时,可直接对该第二类别HTTP敏感日志记录的唯一一条请求路径,进行时域特征分析,从而确定客户端主机当前是否利用HTTP恶意的进行漏洞扫描。
具体地,例如,具体地,例如,在如图4所示的识别确认利用HTTP进行漏洞扫描的处理流程中,直接检测识别记录同一客户端主机请求访问不同服务器或者不同其他客户端主机的的第二类别HTTP敏感日志的生成时间点,然后通过卷积等方式识别各生成时间点所反映的客户端主机发起请求当前HTTP流量数据的请求频率;若通过卷积等方式识别到,各生成时间点所反映的客户端主机发起请求当前HTTP流量数据的请求频率大于预设频率,则确认当前客户端主机正利用HTTP恶意进行漏洞扫描,从而由当前执行发现检测的终端设备将识别确定的客户端主机上报,此外,若识别到各生成时间点所反映的客户端主机发起请求当前HTTP流量数据的请求频率小于或者等于预设频率,则确认当前客户端主机并未利用HTTP恶意进行漏洞扫描,从而放弃上报。
在本实施例中,在进一步对识别提取的各敏感日志进行特征分析之前,按照客户端主机的IP,将识别提取的各敏感日志进行分类聚合,从而得到同一客户端主机的第一类别HTTP敏感日志和第二类别HTTP敏感日志,然后在针对第一类别HTTP敏感日志进行历史行为特征分析、路径特征分析后得到目标请求路径之后,在连同第二类HTTP敏感日志进行时域特征分析,从而识别确认客户端主机是否利用HTTP恶意进行漏洞扫描。实现了,综合不同类型的多个HTTP日志和客户端主机的历史请求访问行为,对客户端主机是否利用HTTP恶意进行漏洞扫描进行逐级的分析识别,降低了误报几率,提高了识别确认的准确率。
本发明还提供一种HTTP漏洞扫描主机的确认装置,本发明HTTP漏洞扫描主机的确认装置应用上述任一实施例中的终端设备。
参照图5,图5为本发明HTTP漏洞扫描主机的确认装置一实施例的模块示意图,本实施例中,所述装置包括:
审计模块,用于调用预设镜像设备对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;
提取模块,用于在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;
确定模块,用于分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,本发明HTTP漏洞扫描主机的确认装置,还包括:
分类聚合模块,用于对识别提取出的所述HTTP敏感日志进行分类聚合得到第一类别HTTP敏感日志和第二类别HTTP敏感日志。
优选地,确定模块,还用于分别对第一类别HTTP敏感日志和第二类别HTTP敏感日志进行分析以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,确定模块,包括:
历史行为分析单元,用于采集所述主机的历史行为学特征,根据所述历史行为学特征排除多条所述请求路径中的部分路径;
路径特征分析单元,用于从排除所述部分路径后剩余的多条请求路径中,提取出符合预设路径特征的目标请求路径;
时域特征分析单元,用于对记录所述目标请求路径的所述第一类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,历史行为分析单元,还用于根据记录的基于HTTP进行正常访问的行为特征,从多条所述请求路径中,排除属于正常访问的部分路径。
优选地,路径特征分析单元,还用于逐一对比排除所述部分路径后剩余的多条请求路径与预设路径之间的相似度,并提取出所述相似度大于预设阈值的目标请求路径。
优选地,时域特征分析单元,包括:
识别子单元,用于识别记录所述目标请求路径的所述第一类别HTTP敏感日志的生成时间点;
检测子单元,用于根据所述生成时间点检测所述主机发起所述HTTP流量数据的请求频率;
第一确定子单元,用于若检测到所述请求频率超过预设频率,确定所述主机利用HTTP进行漏洞扫描;
第二确定子单元,用于若检测到所述请求频率未超过预设频率,确定所述主机未利用HTTP进行漏洞扫描。
优选地,时域特征分析单元,还包括:
第三确定子单元,用于对所述第二类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
优选地,审计模块,包括:
审计单元,用于保留各所述HTTP流量数据中,所述主机发起的各请求信息和接收到与所述请求信息对应的返回头字段信息;
封装单元,将所述请求信息和对应的所述返回头字段信息封装为HTTP日志,以得到各请求信息对应的HTTP日志。
优选地,提取模块,还包括:
提取单元,用于将所述请求信息和所述返回头字段信息均符合所述预设条件的所述HTTP日志作为所述HTTP敏感日志,并提取出所述HTTP敏感日志,其中,所述预设条件为利用HTTP进行恶意扫描的行为特征。
上述各功能模块实现的方法可参照本发明HTTP漏洞扫描主机的确认方法实施例,此处不再赘述。
在本实施例中,审计模块,用于调用预设镜像设备对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;提取模块,用于在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;确定模块,用于分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
通过上述方式,调用具备流量数据审计功能的预设镜像设备对基于HTTP协议构建标准各客户端和服务器模型中,各客户端主机所发起的HTTP流量数据进行审计,并在经过预设镜像设备审计保留的各HTTP日志中,识别提取出符合依据恶意扫描特征所设置的预设条件的敏感日志,最后结合对提取出的敏感日志进行特征分析,从而确定预设镜像设备进行HTTP流量数据审计的客户端主机是否为利用HTTP进行漏洞扫描主机。实现了,结合客户端主机所发起的HTTP流量数据的多维度特征进行主机利用HTTP进行漏洞扫描的确认,无需花费大量人力资源进行扫描字典的识别,且能够分析识别出未知漏洞或者后门相关的恶意请求路径,避免了传统发现利用HTTP协议进行漏洞扫描的主机的方式,需要花费人力资源且发现识别准确率低下的问题,提升了对主机利用HTTP进行漏洞扫描的确认效率。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有HTTP漏洞扫描主机的确认程序,所述HTTP漏洞扫描主机的确认程序被处理器执行时实现如上所述的HTTP漏洞扫描主机的确认方法的步骤。
其中,在所述处理器上运行的HTTP漏洞扫描主机的确认程序被执行时所实现的方法可参照本发明HTTP漏洞扫描主机的确认方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (13)
1.一种HTTP漏洞扫描主机的确认方法,其特征在于,所述HTTP漏洞扫描主机的确认方法包括如下步骤:
调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;
在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;
分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
2.如权利要求1所述的HTTP漏洞扫描主机的确认方法,其特征在于,在所述分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描的步骤之前,还包括:
对提取出的所述HTTP敏感日志进行分类聚合得到第一类别HTTP敏感日志和第二类别HTTP敏感日志;
相应的,所述分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描,包括:
分别对第一类别HTTP敏感日志和第二类别HTTP敏感日志进行分析以确认所述主机是否利用HTTP进行漏洞扫描。
3.如权利要求2所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述第一类别HTTP敏感日志为记录多条请求路径的HTTP日志,
对第一类别HTTP敏感日志进行分析,包括:
采集所述主机的历史行为学特征,根据所述历史行为学特征排除多条所述请求路径中的部分路径;
从排除所述部分路径后剩余的多条请求路径中,提取出符合预设路径特征的目标请求路径;
对记录所述目标请求路径的所述第一类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
4.如权利要求3所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述历史行为学特征为记录基于HTTP进行正常访问的行为特征,
所述根据所述历史行为学特征排除多条所述请求路径中的部分路径的步骤,包括:
根据记录的基于HTTP进行正常访问的行为特征,从多条所述请求路径中,排除属于正常访问的部分路径。
5.如权利要求3所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述路径特征路径相似度是否大于预设阈值;
所述从排除所述部分路径后剩余的多条请求路径中,提取出符合预设路径特征的目标请求路径的步骤,包括:
逐一对比排除所述部分路径后剩余的多条请求路径与预设路径之间的相似度,并提取出所述相似度大于预设阈值的目标请求路径。
6.如权利要求3所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述对记录所述目标请求路径的所述第一类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描的步骤,包括:
识别记录所述目标请求路径的所述第一类别HTTP敏感日志的生成时间点;
根据所述生成时间点检测所述主机发起所述HTTP流量数据的请求频率;
若检测到所述请求频率超过预设频率,确定所述主机利用HTTP进行漏洞扫描;
若检测到所述请求频率未超过预设频率,确定所述主机未利用HTTP进行漏洞扫描。
7.如权利要求2所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述第二类别HTTP敏感日志为记录唯一请求路径的HTTP日志,
对第二类别HTTP敏感日志进行分析,包括:
对所述第二类别HTTP敏感日志进行时域特征分析,以确认所述主机是否利用HTTP进行漏洞扫描。
8.如权利要求1所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志的步骤,包括:
保留各所述HTTP流量数据中,所述主机发起的各请求信息和接收到与所述请求信息对应的返回头字段信息;
将所述请求信息和对应的所述返回头字段信息封装为HTTP日志,以得到各请求信息对应的HTTP日志。
9.如权利要求8所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志的步骤,包括:
将所述请求信息和所述返回头字段信息均符合所述预设条件的所述HTTP日志作为所述HTTP敏感日志,并提取出所述HTTP敏感日志,其中,所述预设条件为利用HTTP进行恶意扫描的行为特征。
10.如权利要求9所述的HTTP漏洞扫描主机的确认方法,其特征在于,所述行为特征包括:HTTP状态码、请求文件后缀和/或请求参数数量。
11.一种HTTP漏洞扫描主机的确认装置,其特征在于,所述HTTP漏洞扫描主机的确认装置包括:
审计模块,用于调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志;
提取模块,用于在各所述HTTP日志中,提取符合预设条件的HTTP敏感日志;
确定模块,用于分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。
12.一种终端设备,其特征在于,所述终端设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的HTTP漏洞扫描主机的确认程序,所述HTTP漏洞扫描主机的确认程序被所述处理器执行时实现如权利要求1至10中任一项所述的HTTP漏洞扫描主机的确认方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有HTTP漏洞扫描主机的确认程序,所述HTTP漏洞扫描主机的确认程序被处理器执行时实现如权利要求1至10中任一项所述的HTTP漏洞扫描主机的确认方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010078165.6A CN111314326B (zh) | 2020-02-01 | 2020-02-01 | Http漏洞扫描主机的确认方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010078165.6A CN111314326B (zh) | 2020-02-01 | 2020-02-01 | Http漏洞扫描主机的确认方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111314326A true CN111314326A (zh) | 2020-06-19 |
| CN111314326B CN111314326B (zh) | 2022-06-21 |
Family
ID=71148738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010078165.6A Active CN111314326B (zh) | 2020-02-01 | 2020-02-01 | Http漏洞扫描主机的确认方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111314326B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112528330A (zh) * | 2020-12-14 | 2021-03-19 | 建信金融科技有限责任公司 | 日志扫描方法、装置和设备 |
| CN114430348A (zh) * | 2022-02-07 | 2022-05-03 | 云盾智慧安全科技有限公司 | 一种web网站搜索引擎优化后门识别方法及装置 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130191920A1 (en) * | 2012-01-24 | 2013-07-25 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
| CN104980309A (zh) * | 2014-04-11 | 2015-10-14 | 北京奇虎科技有限公司 | 网站安全检测方法及装置 |
| CN105721427A (zh) * | 2016-01-14 | 2016-06-29 | 湖南大学 | 一种从Web日志中挖掘攻击频繁序列模式的方法 |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN106330944A (zh) * | 2016-08-31 | 2017-01-11 | 杭州迪普科技有限公司 | 恶意系统漏洞扫描器的识别方法和装置 |
| CN107135212A (zh) * | 2017-04-25 | 2017-09-05 | 武汉大学 | 一种基于行为差异的Web环境下的人机识别装置及方法 |
| CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
| CN107547490A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种扫描器识别方法、装置及系统 |
| CN107579983A (zh) * | 2017-09-13 | 2018-01-12 | 杭州安恒信息技术有限公司 | 基于网站日志的代码安全审计方法及装置 |
| US20180075233A1 (en) * | 2016-09-13 | 2018-03-15 | Veracode, Inc. | Systems and methods for agent-based detection of hacking attempts |
| CN109583567A (zh) * | 2018-11-29 | 2019-04-05 | 四川大学 | 一种基于CNN的Web自动扫描器指纹识别模型 |
| CN109768992A (zh) * | 2019-03-04 | 2019-05-17 | 深信服科技股份有限公司 | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 |
| US20190306178A1 (en) * | 2018-03-30 | 2019-10-03 | Microsoft Technology Licensing, Llc | Distributed System for Adaptive Protection Against Web-Service-Targeted Vulnerability Scanners |
-
2020
- 2020-02-01 CN CN202010078165.6A patent/CN111314326B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130191920A1 (en) * | 2012-01-24 | 2013-07-25 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
| CN104980309A (zh) * | 2014-04-11 | 2015-10-14 | 北京奇虎科技有限公司 | 网站安全检测方法及装置 |
| CN105721427A (zh) * | 2016-01-14 | 2016-06-29 | 湖南大学 | 一种从Web日志中挖掘攻击频繁序列模式的方法 |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN107547490A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种扫描器识别方法、装置及系统 |
| CN106330944A (zh) * | 2016-08-31 | 2017-01-11 | 杭州迪普科技有限公司 | 恶意系统漏洞扫描器的识别方法和装置 |
| US20180075233A1 (en) * | 2016-09-13 | 2018-03-15 | Veracode, Inc. | Systems and methods for agent-based detection of hacking attempts |
| CN107135212A (zh) * | 2017-04-25 | 2017-09-05 | 武汉大学 | 一种基于行为差异的Web环境下的人机识别装置及方法 |
| CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
| CN107579983A (zh) * | 2017-09-13 | 2018-01-12 | 杭州安恒信息技术有限公司 | 基于网站日志的代码安全审计方法及装置 |
| US20190306178A1 (en) * | 2018-03-30 | 2019-10-03 | Microsoft Technology Licensing, Llc | Distributed System for Adaptive Protection Against Web-Service-Targeted Vulnerability Scanners |
| CN109583567A (zh) * | 2018-11-29 | 2019-04-05 | 四川大学 | 一种基于CNN的Web自动扫描器指纹识别模型 |
| CN109768992A (zh) * | 2019-03-04 | 2019-05-17 | 深信服科技股份有限公司 | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| LEEJIA1989: "http/https镜像流量的解析问题", 《HTTPS://BLOG.51CTO.COM/LEEJIA/2125470》 * |
| 刘小凯,方勇,黄诚,刘亮: "基于有限状态机的Web漏洞扫描器识别研究", 《信息安全研究》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112528330A (zh) * | 2020-12-14 | 2021-03-19 | 建信金融科技有限责任公司 | 日志扫描方法、装置和设备 |
| CN114430348A (zh) * | 2022-02-07 | 2022-05-03 | 云盾智慧安全科技有限公司 | 一种web网站搜索引擎优化后门识别方法及装置 |
| CN114430348B (zh) * | 2022-02-07 | 2023-12-05 | 云盾智慧安全科技有限公司 | 一种web网站搜索引擎优化后门识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111314326B (zh) | 2022-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN109862003B (zh) | 本地威胁情报库的生成方法、装置、系统及存储介质 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN108632219B (zh) | 一种网站漏洞检测方法、检测服务器、系统及存储介质 | |
| US20160036832A1 (en) | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature | |
| US20160285909A1 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
| CN110888838A (zh) | 基于对象存储的请求处理方法、装置、设备及存储介质 | |
| CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
| CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN111586005A (zh) | 扫描器扫描行为识别方法及装置 | |
| CN111625837B (zh) | 识别系统漏洞的方法、装置和服务器 | |
| CN112615873A (zh) | 物联网设备安全检测方法、设备、存储介质及装置 | |
| CN115695043A (zh) | 漏洞扫描攻击检测方法、模型训练方法及装置 | |
| CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
| KR101725404B1 (ko) | 웹사이트 점검 장치 및 그 방법 | |
| Kaushik et al. | Network Security with Network Intrusion Detection System using Machine Learning Deployed in a Cloud Infrastructure | |
| CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 | |
| CN112528286B (zh) | 终端设备安全检测方法、关联设备以及计算机程序产品 | |
| US20220237289A1 (en) | Automated malware classification with human-readable explanations | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN115378655A (zh) | 漏洞检测方法及装置 | |
| CN109788001B (zh) | 可疑互联网协议地址发现方法、用户设备、存储介质及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |