CN111586005B - 扫描器扫描行为识别方法及装置 - Google Patents
扫描器扫描行为识别方法及装置 Download PDFInfo
- Publication number
- CN111586005B CN111586005B CN202010353865.1A CN202010353865A CN111586005B CN 111586005 B CN111586005 B CN 111586005B CN 202010353865 A CN202010353865 A CN 202010353865A CN 111586005 B CN111586005 B CN 111586005B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- request packet
- current
- scanner
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本公开涉及一种扫描器扫描行为识别方法、装置、电子设备及计算机可读介质。该方法包括:由服务器前端获取当前访问的数据包;对所述数据包进行拆解分析,提取当前指纹特征;将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为。本公开涉及的扫描器扫描行为识别方法、装置、电子设备及计算机可读介质,能够大大降低不法分子利用扫描器去发现服务器的漏洞的几率,增加不法人员发现服务器漏洞的时间成本,保护服务器的网络安全。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种扫描器扫描行为识别方法、装置、电子设备及计算机可读介质。
背景技术
Web应用扫描器通过Web前端与Web应用程序通信,可以自动检查Web应用程序,探测、分析其响应,从而发现潜在的安全问题和架构缺陷。自动发现隐藏的应用程序;可从几个应用无缝扩展到大量应用;根据用户设置的具体时间进行扫描;使用多种认证形式进入;高效地扫描企业网络中不同部分的应用程序。但是现在有不法分子也会利用扫描器对企业的服务器进行扫描,在这些不法分子的扫描器扫描的过程中,当发现服务器漏洞时,就会找机会对漏洞进行攻击,给企业服务器带来了很大的网络安全隐患。
企业服务器可通过设置反扫描器扫描的应用来阻止扫描的发生,但目前都是通过单一的阈值方式以及固定的扫描器特征来识别扫描器,阈值设置不合理,或者扫描频率不高,以及扫描器特征更新不及时都会使得正常的网络访问行为被误识别或者存在漏报行为。现有的扫描器扫描行为检测技术漏报率高,误报率高。
因此,需要一种新的扫描器扫描行为识别方法、装置、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种扫描器扫描行为识别方法、装置、电子设备及计算机可读介质,能够大大降低不法分子利用扫描器去发现服务器的漏洞的几率,增加不法人员发现服务器漏洞的时间成本,保护服务器的网络安全。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种扫描器扫描行为识别方法,该方法包括:由服务器前端获取当前访问的数据包;对所述数据包进行拆解分析,提取当前指纹特征;将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为。
在本公开的一种示例性实施例中,将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配之前,还包括:获取多个历史数据包的多个访问信息;基于所述多个访问信息提取单位时间内多个历史数据包的多个指纹特征;基于所述多个指纹特征生成所述指纹特征库。
在本公开的一种示例性实施例中,还包括:在所述数据包的所述当前指纹特征和所述多个指纹特征未匹配成功时,基于漏洞特征库对当前访问的请求包进行检测;在所述请求包中存在漏洞探测行为时,确定当前访问中包含扫描器扫描行为。
在本公开的一种示例性实施例中,在所述数据包中存在漏洞探测行为时,包括:将当前访问的请求包和所述漏洞规则库中的多个漏洞规则进行匹配;在单位时间内,匹配成功的数量大于第一阈值时,确定所述请求包中存在漏洞探测行为。
在本公开的一种示例性实施例中,还包括:在所述数据包中未存在漏洞探测行为时,基于地址列表对当前访问的请求包进行检测;在所述请求包中存在地址探测行为时,确定当前访问中包含扫描器扫描行为。
在本公开的一种示例性实施例中,基于地址列表对当前访问的请求包进行检测之前,还包括:爬取所述服务器中多个统一资源定位符,生成树状结构的所述地址列表。
在本公开的一种示例性实施例中,在所述请求包中存在地址探测行为时,包括:将所述请求包中包含的统一资源定位符和所述地址列表件进行匹配;在匹配成功的比例小于第二阈值时,确定所述请求包中存在地址探测行为。
在本公开的一种示例性实施例中,还包括:在所述数据包中不存在地址探测行为时,通过所述服务器处理所述数据包,生成响应报文;在所述响应报文中的响应代码符合预设策略时,确定当前访问中包含扫描器扫描行为。
在本公开的一种示例性实施例中,还包括:在所述响应代码为预定代码,且所述响应代码的数量占比大于第三阈值时,确定当前访问中包含扫描器扫描行为。
在本公开的一种示例性实施例中,还包括:在当前访问中包含扫描器扫描行为时,阻断当前访问的所述数据包。
根据本公开的一方面,提出一种扫描器扫描行为识别装置,该装置包括:数据包模块,用于由服务器前端获取当前访问的数据包;特征模块,用于对所述数据包进行拆解分析,提取当前指纹特征;匹配模块,用于将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;行为模块,用于在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的扫描器扫描行为识别方法、装置、电子设备及计算机可读介质,由服务器前端获取当前访问的数据包;对所述数据包进行拆解分析,提取当前指纹特征;将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为的方式,能够大大降低不法分子利用扫描器去发现服务器的漏洞的几率,增加不法人员发现服务器漏洞的时间成本,保护服务器的网络安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种扫描器扫描行为识别方法及装置的系统框图。
图2是根据一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。
图3是根据另一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。
图4是根据另一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。
图5是根据另一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。
图6是根据一示例性实施例示出的一种扫描器扫描行为识别装置的框图。
图7是根据一示例性实施例示出的一种电子设备的框图。
图8是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
图1是根据一示例性实施例示出的一种扫描器扫描行为识别方法、装置、电子设备及计算机可读介质的系统框图。
如图1所示,系统架构10可以包括终端设备101,中间设备102和服务器103。还可包括网络设备,其中网络设备用以在终端设备101、中间设备102和服务器103之间提供通信链路的介质。网络设备可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101通过中间设备102与服务器103交互,以接收或发送消息等。终端设备101上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
中间设备102可以是能够接受流量数据并进行分析的服务器,中间设备102可对接收到的客户端的数据包或者请求包进行分析等处理,在来自客户端的数据包或者请求包中存在扫描器扫描行为时,中间设备102可生成警示信息。中间设备102还可对服务器的响应数据进行分析等处理,在服务器的响应数据中包含扫描器扫描行为时,切断用户端和服务器之间的数据通信。
服务器103可以是提供各种服务的服务器,例如对用户利用终端设备101所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果反馈给终端设备。
中间设备102可例如由服务器前端获取当前访问的数据包;中间设备102可例如对所述数据包进行拆解分析,提取当前指纹特征;中间设备102可例如将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;中间设备102可例如在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为。
在所述数据包的所述当前指纹特征和所述多个指纹特征未匹配成功时,中间设备102可例如基于漏洞特征库对当前访问的请求包进行检测;中间设备102可例如在所述请求包中存在漏洞探测行为时,确定当前访问中包含扫描器扫描行为。
在所述数据包的所述当前指纹特征和所述多个指纹特征未匹配成功时,中间设备102可例如基于地址列表对当前访问的请求包进行检测;中间设备102可例如在所述请求包中存在地址探测行为时,确定当前访问中包含扫描器扫描行为。
在所述请求包中不存在地址探测行为时,中间设备102可例如通过所述服务器处理当前访问的所述数据包,生成响应报文;中间设备102可例如在所述响应报文中的响应代码符合预设策略时,确定当前访问中包含扫描器扫描行为。
中间设备102可例如在当前访问中包含扫描器扫描行为时,阻断当前访问的所述数据包。
需要说明的是,本公开实施例所提供的扫描器扫描行为识别方法可以由中间设备102执行,相应地,扫描器扫描行为识别装置可以设置于中间设备102中。而提供给用户进行网页浏览的网页端一般位于终端设备101中。
本公开实施例所提供的扫描器扫描行为识别方法,能够从自我学习的角度来识别扫描器特征,从多维度检测来识别扫描器的扫描行为,最终目的来降低正常业务交互的误报率,提高扫描器行为的检出率。
图2是根据一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。扫描器扫描行为识别方法20至少包括步骤S202至S208。
如图2所示,在S202中,由服务器前端获取当前访问的数据包。
在S204中,对所述数据包进行拆解分析,提取当前指纹特征。当数据包到中间设备时,数据包将沿着协议栈自底向上依次传递。各层协议依次根据帧中本层负责的头部信息以获取所需数据,最终将处理后的帧交给中间设备。在最后处理后的帧数据汇总提取指纹特征。
在S206中,将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配。
在一个实施例中,将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配之前,可进行指纹学习的过程,具体包括:获取多个历史数据包的多个访问信息;基于所述多个访问信息提取单位时间内多个历史数据包的多个指纹特征;基于所述多个指纹特征生成所述指纹特征库。
计算历史数据包访问的路径,访问的频率,假设在长时间范围内收集该数据报每次请求的路径,请求的数据包类型,或者发送数据包的频率(即每次发送的报文个数)。在范围时间内收集完成后,如果确认请求路径相同,请求的数据包类型相同,发送数据包频率一致,那么将触发指纹学习功能,当该请求再次发送到装置时,装置将开始学习指纹,学习功能主要为提取统计单位时间内该数据包的一致性特征(即提取数据包头各个字段,分析相同的头部字段值)。且对比此特征在其他数据包内无发现。保证此特征的独特性。
当指纹学习完成后,可进行指纹录用。录用条件可以自定义满足几个独立特征条件,例如数据包满足三个独立特征,那么可以将此数据包录用至指纹库。指纹录用后,装置将根据语义自定义扫描器名称,指纹库将积累各个扫描器自身特征。指纹库可以持续进行指纹叠加。
在S208中,在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为。在当前访问中包含扫描器扫描行为时,阻断当前访问的所述数据包。
当前数据包到达中间设备后,(即当客户端使用扫描器扫描服务器时)将数据包进行拆解分析,该数据包是否包含有内置指纹库的特征。如果数据包某些字段匹配了装置内指纹库特征,装置将认为该访问行为为扫描器扫描行为。将此数据包进行阻断操作。
根据本公开的扫描器扫描行为识别方法,由服务器前端获取当前访问的数据包;对所述数据包进行拆解分析,提取当前指纹特征;将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为的方式,能够大大降低不法分子利用扫描器去发现服务器的漏洞的几率,增加不法人员发现服务器漏洞的时间成本,保护服务器的网络安全。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
图3是根据另一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。图3所示的流程30是对图2所示的流程20的补充描述。
如图3所示,在S302中,所述数据包的所述当前指纹特征和所述多个指纹特征未匹配成功。
在S304中,基于漏洞特征库对当前访问的请求包进行检测。针对漏洞探测的扫描器时,首先中间设备装置可建立漏洞特征库,漏洞特征库中存放各种漏洞库规则。当有扫描器扫描时,将扫描器的请求负载包部分进行攻击检查。
在S306中,所述请求包中存在漏洞探测行为。包括:将当前访问的请求包和所述漏洞规则库中的多个漏洞规则进行匹配;在单位时间内,匹配成功的数量大于第一阈值时,确定所述请求包中存在漏洞探测行为。
其中,可在单位时间段内统计符合漏洞规则的个数,当达到第一阈值(例如20个)时,表明该行为存在漏洞探测行为,同时将识别为扫描行为。
在S308中,基于地址列表对当前访问的请求包进行检测。其中,基于地址列表对当前访问的请求包进行检测之前,还包括:爬取所述服务器中多个统一资源定位符,生成树状结构的所述地址列表。
更具体的,中间设备中可内置URL自学习功能。此功能将爬取服务器的所有URL路径缓存于装置内,生成URL树状结构。开启该功能,配置需要学习的域名,装置将根据域名对服务器进行层层目录爬取。
在S310中,所述请求包中存在地址探测行为。将所述请求包中包含的统一资源定位符和所述地址列表进行匹配;在匹配成功的比例小于第二阈值时,确定所述请求包中存在地址探测行为。
更具体的,在扫描器扫描时,此时扫描器数据包会携带大量URL,装置将截取此URL去跟地址列表中的URL进行匹配,当URL匹配结果比例小于第二阈值(例如50%)时,表明该行为存在地址探测行为。
在S312中,确定当前访问中包含扫描器扫描行为。在当前访问中包含扫描器扫描行为时,阻断当前访问的所述数据包。
图4是根据另一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。图4所示的流程40是对图3所示的流程20的补充描述。
如图4所示,在S402中,所述请求包中不存在地址探测行为。
在S404中,通过所述服务器处理当前访问的所述数据包,生成响应报文。当正向请求报文全部放过后,服务器将进行响应。此时中间设备会收到服务器的响应报文。正常响应报文为200。中间设备予以放通,当设备收到异常响应报文时,装置将对响应码进行检查。
在S406中,在所述响应报文中的响应代码符合预设策略时,确定当前访问中包含扫描器扫描行为。可例如,在所述响应代码为预定代码,且所述响应代码的数量占比大于第三阈值时,确定当前访问中包含扫描器扫描行为。
错误响应码可包括:400,401,402,403,404,405,406,407,408,409,410,411,412,413,414,415,416,417,500,501,502,503,504,505错误响应码。中间设备可首先定义好各个响应码的含义。收到响应码后装置将对此类响应码统计。根据响应码的含义,统计客户端与服务器交互失败的原因。通过比例,例如分析404错误代码的比例,如果404占比超过第三阈值(可例如50%),将此行为识别为扫描器行为。在当前访问中包含扫描器扫描行为时,阻断当前访问的所述数据包。
图5是根据另一示例性实施例示出的一种扫描器扫描行为识别方法的流程图。
如图5所示,在S502中,获取客户端和服务器之间的数据。
在S504中,扫描器指纹库进行检测。指纹库的检测逻辑为:当前数据包到达装置后,将数据包进行拆解分析,该数据包是否包含有内置指纹库的特征。如果数据包某些字段匹配了装置内指纹库特征,装置将认为该访问行为为扫描器扫描行为。将此数据包进行阻断操作。
在S506中,客户端请求包检测。扫描器扫描过程中,一般分为服务器漏洞探测和服务器URL探测。
针对漏洞探测的扫描器时,在单位时间段内统计符合漏洞规则的个数,当达到预设值时,表明该行为存在漏洞探测行为,装置将触发阻断该客户端行为,同时将识别为扫描行为。
针对URL探测的扫描器时,截取请求包中的URL去跟地址列表中的URL进行匹配,当URL匹配结果比例小于50%时,确定该行为存在URL探测行为,进而阻断该客户端行为,并将识别此行为是扫描器扫描行为。
在S508中,服务器响应代码检测。当正向请求报文全部放过后,服务器将进行响应。此时设备会收到服务器的响应报文。正常响应报文为200。装置予以放通,当设备收到异常响应报文时,装置将对响应码进行检查。
在S510中,生成检测结果。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图6是根据另一示例性实施例示出的一种扫描器扫描行为识别装置的框图。如图6所示,扫描器扫描行为识别装置60包括:数据包模块602,特征模块604,匹配模块606,行为模块608。
数据包模块602用于由服务器前端获取当前访问的数据包;
特征模块604用于对所述数据包进行拆解分析,提取当前指纹特征;
匹配模块606用于将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;
行为模块608用于在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为。
根据本公开的扫描器扫描行为识别装置,由服务器前端获取当前访问的数据包;对所述数据包进行拆解分析,提取当前指纹特征;将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为的方式,能够大大降低不法分子利用扫描器去发现服务器的漏洞的几率,增加不法人员发现服务器漏洞的时间成本,保护服务器的网络安全。
图7是根据一示例性实施例示出的一种电子设备的框图。
下面参照图7来描述根据本公开的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元710可以执行如图2,图3,图4,图5中所示的步骤。
所述存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
所述存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备700’(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器760可以通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图8所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:由服务器前端获取当前访问的数据包;对所述数据包进行拆解分析,提取当前指纹特征;将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (5)
1.一种扫描器扫描行为识别方法,其特征在于,包括:
由服务器前端获取当前访问的数据包;
对所述数据包进行拆解分析,提取当前指纹特征;
将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;
在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为;
在所述数据包的所述当前指纹特征和所述多个指纹特征未匹配成功时,基于漏洞特征库对当前访问的请求包进行检测以及基于地址列表对当前访问的请求包进行检测,从而在所述请求包中存在漏洞探测行为时,将当前访问的请求包和所述漏洞规则库中的多个漏洞规则进行匹配,并在单位时间内,匹配成功的数量大于第一阈值时,确定所述请求包中存在漏洞探测行为确定当前访问中包含扫描器扫描行为,或者在所述请求包中存在地址探测行为时,将所述请求包中包含的统一资源定位符和所述地址列表进行匹配,以便在匹配成功的比例小于第二阈值时,确定所述请求包中存在地址探测行为确定当前访问中包含扫描器扫描行为;以及
在所述请求包中不存在漏洞探测行为或地址探测行为时,通过所述服务器处理当前访问的所述数据包,生成响应报文,并在响应报文中的响应代码符合预设策略,且所述响应代码的数量占比大于第三阈值时,确定当前访问中包含扫描器扫描行为。
2.如权利要求1所述的方法,其特征在于,将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配之前,还包括:
获取多个历史数据包的多个访问信息;
基于所述多个访问信息提取单位时间内多个历史数据包的多个指纹特征;
基于所述多个指纹特征生成所述指纹特征库。
3.如权利要求1所述的方法,其特征在于,基于地址列表对当前访问的请求包进行检测之前,还包括:
爬取所述服务器中多个统一资源定位符,生成树状结构的所述地址列表。
4.如权利要求1所述的方法,其特征在于,还包括:
在当前访问中包含扫描器扫描行为时,阻断当前访问的所述数据包。
5.一种扫描器扫描行为识别装置,其特征在于,包括:
数据包模块,用于由服务器前端获取当前访问的数据包;
特征模块,用于对所述数据包进行拆解分析,提取当前指纹特征;
匹配模块,用于将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配;
行为模块,用于在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时,确定当前访问中包含扫描器扫描行为,在所述数据包的所述当前指纹特征和所述多个指纹特征未匹配成功时,基于漏洞特征库对当前访问的请求包进行检测以及基于地址列表对当前访问的请求包进行检测,从而在所述请求包中存在漏洞探测行为时,将当前访问的请求包和所述漏洞规则库中的多个漏洞规则进行匹配;并在单位时间内,匹配成功的数量大于第一阈值时,确定所述请求包中存在漏洞探测行为确定当前访问中包含扫描器扫描行为,或者在所述请求包中存在地址探测行为时,将所述请求包中包含的统一资源定位符和所述地址列表进行匹配,以便在匹配成功的比例小于第二阈值时,确定所述请求包中存在地址探测行为确定当前访问中包含扫描器扫描行为;以及在所述请求包中不存在漏洞探测行为或地址探测行为时,通过所述服务器处理当前访问的所述数据包,生成响应报文,并在响应报文中的响应代码符合预设策略,且所述响应代码的数量占比大于第三阈值时,确定当前访问中包含扫描器扫描行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010353865.1A CN111586005B (zh) | 2020-04-29 | 2020-04-29 | 扫描器扫描行为识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010353865.1A CN111586005B (zh) | 2020-04-29 | 2020-04-29 | 扫描器扫描行为识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111586005A CN111586005A (zh) | 2020-08-25 |
CN111586005B true CN111586005B (zh) | 2022-12-27 |
Family
ID=72124584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010353865.1A Active CN111586005B (zh) | 2020-04-29 | 2020-04-29 | 扫描器扫描行为识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111586005B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112019575B (zh) * | 2020-10-22 | 2021-01-29 | 腾讯科技(深圳)有限公司 | 数据包处理方法、装置、计算机设备以及存储介质 |
CN112468520B (zh) * | 2021-01-28 | 2021-04-20 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备及可读存储介质 |
CN112953921A (zh) * | 2021-02-02 | 2021-06-11 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置、设备及存储介质 |
CN113055368B (zh) * | 2021-03-08 | 2022-12-13 | 云盾智慧安全科技有限公司 | 一种Web扫描识别方法、装置及计算机存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
CN106330944A (zh) * | 2016-08-31 | 2017-01-11 | 杭州迪普科技有限公司 | 恶意系统漏洞扫描器的识别方法和装置 |
CN106790169A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 扫描设备扫描的防护方法及装置 |
CN107135212A (zh) * | 2017-04-25 | 2017-09-05 | 武汉大学 | 一种基于行为差异的Web环境下的人机识别装置及方法 |
CN108900486A (zh) * | 2018-06-19 | 2018-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
-
2020
- 2020-04-29 CN CN202010353865.1A patent/CN111586005B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
CN106330944A (zh) * | 2016-08-31 | 2017-01-11 | 杭州迪普科技有限公司 | 恶意系统漏洞扫描器的识别方法和装置 |
CN106790169A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 扫描设备扫描的防护方法及装置 |
CN107135212A (zh) * | 2017-04-25 | 2017-09-05 | 武汉大学 | 一种基于行为差异的Web环境下的人机识别装置及方法 |
CN108900486A (zh) * | 2018-06-19 | 2018-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111586005A (zh) | 2020-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111586005B (zh) | 扫描器扫描行为识别方法及装置 | |
US10164988B2 (en) | External link processing | |
US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
US11671448B2 (en) | Phishing detection using uniform resource locators | |
CN102984121A (zh) | 访问监视方法和信息处理装置 | |
US8407766B1 (en) | Method and apparatus for monitoring sensitive data on a computer network | |
US20210203690A1 (en) | Phishing detection using certificates associated with uniform resource locators | |
US8141150B1 (en) | Method and apparatus for automatic identification of phishing sites from low-level network traffic | |
US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
JP2012088803A (ja) | 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
CN114143074B (zh) | webshell攻击识别装置及方法 | |
CN112733104B (zh) | 账号注册请求处理方法及装置 | |
CN114301713A (zh) | 风险访问检测模型的训练方法、风险访问检测方法及装置 | |
US11470114B2 (en) | Malware and phishing detection and mediation platform | |
Canelón et al. | Unstructured data for cybersecurity and internal control | |
WO2021133592A1 (en) | Malware and phishing detection and mediation platform | |
US10936662B1 (en) | Detection of automated agents through interaction element presentation | |
CN112003833A (zh) | 异常行为检测方法和装置 | |
US20220272116A1 (en) | Systems and methods for network device discovery and vulnerability assessment | |
KR20180083148A (ko) | 이메일보안훈련장치 및 그 동작 방법 | |
CN115695364A (zh) | 邮件处理方法、装置、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |