CN112153011A - 一种机器扫描的检测方法、装置、电子设备和存储介质 - Google Patents

一种机器扫描的检测方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN112153011A
CN112153011A CN202010902423.8A CN202010902423A CN112153011A CN 112153011 A CN112153011 A CN 112153011A CN 202010902423 A CN202010902423 A CN 202010902423A CN 112153011 A CN112153011 A CN 112153011A
Authority
CN
China
Prior art keywords
client
access
dispersion
machine scanning
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010902423.8A
Other languages
English (en)
Inventor
张�荣
范渊
黄进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202010902423.8A priority Critical patent/CN112153011A/zh
Publication of CN112153011A publication Critical patent/CN112153011A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种机器扫描的检测方法、装置、电子设备和存储介质,所述一种机器扫描的检测方法包括:响应于客户端的访问行为,获取所述客户端的访问请求;根据所述访问请求,计算所述客户端在预设时间内的离散度;根据所述离散度,确定所述客户端的访问行为是否为机器扫描。解决了传统的机器扫描的检测方法存在检测准确率和灵敏度低的问题,达到了提高机器扫描检测的准确率和灵敏度的技术效果。

Description

一种机器扫描的检测方法、装置、电子设备和存储介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种机器扫描的检测方法、装置、电子设备和存储介质。
背景技术
随着互联网技术与应用的不断发展,WEB应用已经逐渐成为了现代人们生产生活不可缺失的一个方面,同时它也成为了互联网上的主要攻击。机器扫描是一种信息收集的手段,用于攻击者使用恶意程序或恶意脚本等自动化工具针对web服务的应用层攻击前,自动化攻击包括漏洞扫描、目录爆破和网络爬虫爬取等。
传统的机器扫描的检测,通常通过测量IP的请求速度,当IP的请求速度达到设定阈值时,判定使用这个IP的客户端的访问行为是机器扫描。然而,出口公网IP地址数量有限,往往一个公网IP地址,背后的真实客户端可能成百上千。同时,因为机器扫描成本较低,攻击者也可以不需要特别快的扫描速度,所以攻击者可以将机器扫描的速度进行调整后,绕过检测系统。如上所述,传统的机器扫描的检测方法存在检测准确率和灵敏度低的问题。
目前针对传统的机器扫描的检测方法存在检测准确率和灵敏度低的问题,尚未提出有效的解决方案。
发明内容
基于此,有必要针对上述传统的机器扫描的检测方法存在检测准确率和灵敏度低的问题,提供一种机器扫描的检测方法、装置、电子设备和存储介质。
第一方面,本申请实施例提供一种机器扫描的检测方法,该方法包括:
响应于客户端的访问行为,获取该客户端的访问请求;
根据该访问请求,计算该客户端在预设时间内的离散度;
根据该离散度,确定该客户端的访问行为是否为机器扫描。
在其中一个实施例中,该访问请求中包含客户端标识和访问路径。
在其中一个实施例中,该根据该离散度,确定该客户端的访问行为是否为机器扫描包括:
若该离散度大于或等于预设阈值,则该客户端的该访问行为是机器扫描;
若该离散度小于该预设阈值,则该客户端的访问行为是正常访问。
在其中一个实施例中,该根据该访问请求,计算该客户端在预设时间内的离散度包括:
根据该客户端标识和该访问路径,统计该客户端在预设时间内访问该访问路径的访问次数,包括:
若该客户端初次访问该访问路径,则该访问次数为1;
若该客户端非首次访问该访问路径,则在已有的该访问次数上加1;
若该客户端访问该访问路径的访问次数为1,则将该客户端的离散度加1。
第二方面,本申请实施例提供一种机器扫描的检测装置,该装置包括获取模块、计算模块和确定模块;
该获取模块,用于响应于客户端的访问行为,获取该客户端的访问请求,其中,该访问请求中包括客户端标识和访问路径;
该计算模块,用于根据该访问请求,计算该客户端在预设时间内的离散度;
该确定模块,用于根据该离散度,确定该客户端的访问行为是否为机器扫描。
在其中一个实施例中,该确定模块还用于若该离散度大于或等于阈值,则该客户端的该访问行为是机器扫描;
若该离散度小于该预设阈值,则该客户端的访问行为是正常访问。
在其中一个实施例中,该计算模块还包括访问次数更新单元和离散度更新单元;
该访问次数更新单元,用于统计该客户端在预设时间内访问该访问路径的访问次数;
该离散度更新单元,用于若该客户端在预设时间内访问该访问路径的该访问次数为1,则将该客户端的离散度加1。
在其中一个实施例中,该访问次数更新单元还用于若该客户端初次访问该访问路径,则该访问次数为1;
若该客户端非首次访问该访问路径,则在已有的该访问次数上加1。
第三方面,本申请实施例提供一种电子设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行该计算机程序时第一方面该的方法的步骤。
第四方面,本申请实施例提供一种存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现第一方面该的方法的步骤。
在本申请中通过获取访问请求中的信息,计算出该客户端访问该访问路径的访问次数,再通过该访问次数确认该客户端的离散度,从而根据该离散度判断这个客户端的访问行为是不是机器扫描。本发明通过客户端的离散度检测客户端的访问行为是否为机器扫描,解决了传统机器扫描的检测方法存在检测准确率和灵敏度低的问题,达到了提高机器扫描检测的准确率和灵敏度的技术效果。
附图说明
为了更清楚地说明本申请实施例或传统技术中的技术方案,下面将对实施例或传统技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例的一种机器扫描的检测方法的流程图;
图2是根据本申请另一个实施例的一种机器扫描的检测方法的流程图;
图3是根据本申请实施例的一种机器扫描的检测装置的应用环境示意图;
图4是根据本申请实施例的一种机器扫描的检测装置的示意图;
图5是根据本申请另一个实施例的一种机器扫描的检测装置的示意图;
图6是根据本申请实施例的电子设备的内部结构示意图。
具体实施方式
为了便于理解本申请,下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的实施例。但是,本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使本申请的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
需要说明的是,当一个元件被认为是“连接”另一个元件时,它可以是直接连接到另一个元件,或者通过居中元件连接另一个元件。此外,以下实施例中的“连接”,如果被连接的对象之间具有电信号或数据的传递,则应理解为“电连接”、“通信连接”等。
在此使用时,单数形式的“一”、“一个”和“所述/该”也可以包括复数形式,除非上下文清楚指出另外的方式。还应当理解的是,术语“包括/包含”或“具有”等指定所陈述的特征、整体、步骤、操作、组件、部分或它们的组合的存在,但是不排除存在或添加一个或更多个其他特征、整体、步骤、操作、组件、部分或它们的组合的可能性。同时,在本说明书中使用的术语“和/或”包括相关所列项目的任何及所有组合。
本申请作用于客户端访问服务器的过程中,可应用在安全产品——Web应用防护系统,也称为网站应用级入侵防御系统(Web Application Firewall,WAF),该网站应用级入侵防御系统可以是硬件形式的网站应用级入侵防御系统、软件形式的网站应用级入侵防护系统和云模式的网站应用级入侵防护系统。其中,上述客户端指也称为工作站(Workstation),指连入网络的计算机,它接受网络服务器的控制和管理,能够共享网络上的各种资源,上述客户端可以是DNS客户端、Web客户端、游戏客户端和移动客户端。
本实施例提供了一种机器扫描的检测方法,可用于提高机器扫描检测的准确率和灵敏度,图1是根据本申请实施例的一种机器扫描的检测方法的流程图,如图1所示该方法包括:
步骤S101,响应于客户端的访问行为,获取该客户端的访问请求。
客户端的访问请求中可以包括访问路径和客户端标志,访问地址即为客户端请求访问网页的url,客户端标识可以是该客户端的IP或该客户端的IP和User Agent构成的客户端标识。其中,url(Uniform Resource Locator,统一资源定位器),它是WWW的统一资源定位标志,就是指网络地址。User Agent指的是用户代理,简称UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。标准格式为:浏览器标识(操作系统标识;加密等级标识;浏览器语言)渲染引擎标识版本信息。
步骤S102,根据该访问请求,计算该客户端在预设时间内的离散度。
如上所述,根据获取的客户端的访问请求中的访问路径和客户端标志,就可以统计客户端在预设时间内访问该访问路径的访问次数,根据该访问次数得到该客户端的离散度。其中,上述的预设时间是根据具体的业务和历史数据得出的。
步骤S103,根据该离散度,确定该客户端的访问行为是否为机器扫描。根据该离散度的大小进行判断,若该离散度大于或等于预设阈值,则判断该客户端的访问行为是机器扫描;若该离散度小于预设阈值,则判定该客户端的访问行为是正常访问。上述的预设阈值是根据历史数据分析得出的。
上述步骤S101至步骤S103中,通过获取访问请求中的信息,计算出该客户端访问该访问路径的访问次数,再通过该访问次数确认该客户端的离散度,从而根据该离散度判断这个客户端的访问行为是不是机器扫描。在传统的检测方法中,是通过判断客户端的访问服务器的访问频率来判断的,攻击人员可以通过调节机器扫描的速度来避开检测,同时出口公网IP地址数量有限,往往一个公网IP地址,背后的真实客户端可能成百上千,降低了传统机器扫描检测方法的准备率。但是本发明通过客户端的离散度检测客户端的访问行为是否为机器扫描,攻击人员躲避检测的难度升高,因此本发明提高了机器扫描检测的准确率。
作为一种可选实施方式,上述步骤S102可通过以下方式实现:
首先统计所述客户端在预设时间内访问该访问路径的访问次数,若该客户端初次访问该访问路径,则访问次数为1;若该客户端非首次访问该访问路径,则在已有的所述访问次数上加1。然后,若该客户端访问所述访问路径的访问次数为1,则将该客户端的离散度加1。
本实施例提供了一种机器扫描的检测方法,可用于提高机器扫描检测的准确率和灵敏度,图2是根据本申请另一个实施例的一种机器扫描的检测方法的流程图,如图2所示该方法包括:
步骤S201,响应于客户端的访问行为,获取该客户端的访问请求。该访问请求中包括访问路径和客户端标志,该访问地址即使客户端请求访问网页的url,该客户端标识可以是该客户端的IP或该客户端的IP和User Agent构成的客户端标识。其中,url(UniformResource Locator,统一资源定位器),它是WWW的统一资源定位标志,就是指网络地址。User Agent指的是用户代理,简称UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。标准格式为:浏览器标识(操作系统标识;加密等级标识;浏览器语言)渲染引擎标识版本信息。
步骤S202,根据该客户端标识和该访问路径,统计该客户端在预设时间内访问该访问路径的访问次数。首先,可根据客户端标识和访问路径生成一个散列值,拥有同一客户端标识的客户端访问不同访问路径,或拥有不同的客户端标识的客户端访问同一访问路径,都会生成新的散列值。在检测过程中,若生成了新的散列值,则将新的散列值存储在预设的记录表中,且将该散列值的个数记为1;若生成的散列值已存在,则在该散列值已有的散列值的个数上加1。其中,上述预设的记录表中每个客户端标识对应多个散列值,同时也存储在预设时间内每个散列值生成的个数。其中,上述的散列值的个数即是客户端在预设时间内访问该访问路径的访问次数。
步骤S203,若该客户端访问该访问路径的访问次数为1,则将该客户端的离散度加1。
步骤S204,根据该离散度,确定该客户端的访问行为是否为机器扫描。该步骤包括:若所述离散度大于或等于阈值,则所述客户端的所述访问行为是机器扫描;若所述离散度小于所述阈值,则所述客户端的访问行为是正常访问。
上述步骤S201至步骤S204中,通过响应于客户端的访问行为,获取该客户端的访问请求;根据该客户端标识和该访问路径,统计该客户端在预设时间内访问该访问路径的访问次数;该客户端访问该访问路径的访问次数为1,则将该客户端的离散度加1;根据该离散度,确定该客户端的访问行为是否为机器扫描。在传统的检测方法中,是通过判断客户端的访问服务器的访问频率来判断的,攻击人员可以通过调节机器扫描的速度来避开检测,同时出口公网IP地址数量有限,往往一个公网IP地址,背后的真实客户端可能成百上千,降低了传统机器扫描检测方法的准备率。本发明通过客户端的离散度检测客户端的访问行为是否为机器扫描,攻击人员躲避检测的难度升高,因此本发明提高了机器扫描检测的准确率。
本实施例提供了一种机器扫描的检测装置,可用于提高机器扫描检测的准确率和灵敏度,图3是根据本申请实施例的一种机器扫描的检测装置的应用环境示意图,如图3所示,检测装置作用在访问人员和服务器之间,该访问人员分为正常用户和恶意人员,恶意人员指使用机器扫描的方式收集信息的人员。该检测装置的目的就是为了检测出恶意人员。
图4是根据本申请实施例的一种机器扫描的检测装置的示意图,如图4所示,该装置包括获取模块41、计算模块42和确定模块33。
获取模块41,用于响应于客户端的访问行为,获取该客户端的访问请求。该访问请求中包括访问路径和客户端标志,该访问地址即使客户端请求访问网页的url,该客户端标识可以是该客户端的IP或该客户端的IP和User Agent构成的客户端标识。其中,url(Uniform Resource Locator,统一资源定位器),它是WWW的统一资源定位标志,就是指网络地址。User Agent指的是用户代理,简称UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。标准格式为:浏览器标识(操作系统标识;加密等级标识;浏览器语言)渲染引擎标识版本信息。
计算模块42,根据该访问请求,计算该客户端在预设时间内的离散度。
如上所述,根据获取的客户端的访问请求中的访问路径和客户端标志,就可以统计客户端在预设时间内访问该访问路径的访问次数,根据该访问次数得到该客户端的离散度。其中,上述的预设时间是根据具体的业务和历史数据得出的。
确定模块43,用于根据该离散度,确定该客户端的访问行为是否为机器扫描。根据该离散度的大小进行判断,若该离散度大于或等于预设阈值,则判断该客户端的访问行为是机器扫描;若该离散度小于预设阈值,则判定该客户端的访问行为是正常访问。其中,上述的预设阈值是根据历史数据分析得出的。
上述获取模块41、计算模块42和确定模块43中,先由获取模块41获取访问请求中的信息,再由计算装置42计算出该客户端访问该访问路径的访问次数,再通过该访问次数确认该客户端的离散度,最后用确定装置43根据该离散度判断这个客户端的访问行为是否为机器扫描。在传统的检测方法中,是通过判断客户端的访问服务器的访问频率来判断的,攻击人员可以通过调节机器扫描的速度来避开检测,同时出口公网IP地址数量有限,往往一个公网IP地址,背后的真实客户端可能成百上千,降低了传统机器扫描检测方法的准备率。但是本发明通过客户端的离散度检测客户端的访问行为是否为机器扫描,攻击人员躲避检测的难度升高,因此本发明提高了机器扫描检测的准确率。
作为一种可选实施方式,上述计算模块42还用于首先统计所述客户端在预设时间内访问该访问路径的访问次数,若该客户端初次访问该访问路径,则访问次数为1;若该客户端非首次访问该访问路径,则在已有的所述访问次数上加1。然后,若该客户端访问所述访问路径的访问次数为1,则将该客户端的离散度加1。
本实施例提供了一种机器扫描的检测装置,可用于提高机器扫描检测的准确率和灵敏度,图5是根据本申请另一个实施例的一种机器扫描的检测装置的示意图,如图5所示该装置包括获取模块51、访问次数更新单元52、离散度更新单元53和确定模块54。
获取模块51,用于响应于客户端的访问行为,获取该客户端的访问请求。该访问请求中包括访问路径和客户端标志,该访问地址即使客户端请求访问网页的url,该客户端标识可以是该客户端的IP或该客户端的IP和User Agent构成的客户端标识。其中,url(Uniform Resource Locator,统一资源定位器),它是WWW的统一资源定位标志,就是指网络地址。User Agent指的是用户代理,简称UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。标准格式为:浏览器标识(操作系统标识;加密等级标识;浏览器语言)渲染引擎标识版本信息。访问次数更新单元52,用于根据该客户端标识和该访问路径,统计该客户端在预设时间内访问该访问路径的访问次数。首先,可根据客户端标识和访问路径生成一个散列值,拥有同一客户端标识的客户端访问不同访问路径,或拥有不同的客户端标识的客户端访问同一访问路径,都会生成新的散列值。在检测过程中,若生成了新的散列值,则将新的散列值存储在预设的记录表中,且将该散列值的个数记为1;若生成的散列值已存在,则在该散列值已有的散列值的个数上加1。其中,上述预设的记录表中每个客户端标识对应多个散列值,同时也存储在预设时间内每个散列值生成的个数。其中,上述的散列值的个数即是客户端在预设时间内访问该访问路径的访问次数。离散度更新单元53,用于若该客户端在预设时间内访问该访问路径的该访问次数为1,则将该客户端的离散度加1。
确定模块54,用于根据该离散度,确定该客户端的访问行为是否为机器扫描。若所述离散度大于或等于阈值,则所述客户端的所述访问行为是机器扫描;若所述离散度小于所述阈值,则所述客户端的访问行为是正常访问。
上述获取模块51、访问次数更新单元52、离散度更新单元53和确定模块54中,先由获取模块51获取访问请求中的信息,再由计算模块52计算出该客户端访问该访问路径的访问次数,再通过该访问次数确认该客户端的离散度,最后用确定装置根据该离散度判断这个客户端的访问行为是否为机器扫描。在传统的检测方法中,是通过判断客户端的访问服务器的访问频率来判断的,攻击人员可以通过调节机器扫描的速度来避开检测,同时出口公网IP地址数量有限,往往一个公网IP地址,背后的真实客户端可能成百上千,降低了传统机器扫描检测方法的准备率。但是本发明通过客户端的离散度检测客户端的访问行为是否为机器扫描,攻击人员躲避检测的难度升高,因此本发明提高了机器扫描检测的准确率。
应该理解的是,虽然图1-图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-图2中的一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,图6是根据本申请实施例的电子设备的内部结构示意图,如图6所示,提供了一种电子设备,该电子设备可以是服务器,其内部结构图可以如图6所示。该电子设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的数据库用于存储数据。该电子设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据库动态方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
步骤S101,响应于客户端的访问行为,获取该客户端的访问请求。
步骤S102,根据该访问请求,计算该客户端在预设时间内的离散度。
步骤S103,根据该离散度,确定该客户端的访问行为是否为机器扫描。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
步骤S201,响应于客户端的访问行为,获取该客户端的访问请求。
步骤S202,根据该客户端标识和该访问路径,统计该客户端在预设时间内访问该访问路径的访问次数。
步骤S203,若该客户端访问该访问路径的访问次数为1,则将该客户端的离散度加1。
步骤S204,根据该离散度,确定该客户端的访问行为是否为机器扫描。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种机器扫描的检测方法,其特征在于,所述方法包括:
响应于客户端的访问行为,获取所述客户端的访问请求;
根据所述访问请求,计算所述客户端在预设时间内的离散度;
根据所述离散度,确定所述客户端的访问行为是否为机器扫描。
2.根据权利要求1所述方法,其特征在于,所述访问请求中包含客户端标识和访问路径。
3.根据权利要求1所述方法,其特征在于,所述根据所述离散度,确定所述客户端的访问行为是否为机器扫描包括:
若所述离散度大于或等于预设阈值,则所述客户端的所述访问行为是机器扫描;
若所述离散度小于所述预设阈值,则所述客户端的访问行为是正常访问。
4.根据权利要求2所述方法,其特征在于,所述根据所述访问请求,计算所述客户端在预设时间内的离散度包括:
根据所述客户端标识和所述访问路径,统计所述客户端在预设时间内访问所述访问路径的访问次数,包括:
若所述客户端初次访问所述访问路径,则所述访问次数为1;
若所述客户端非首次访问所述访问路径,则在已有的所述访问次数上加1;
若所述客户端访问所述路径访问次数为1,则将所述客户端的离散度加1。
5.一种机器扫描的检测装置,其特征在于,所述装置包括获取模块、计算模块和确定模块;
所述获取模块,用于响应于客户端的访问行为,获取所述客户端的访问请求,其中,所述访问请求中包括客户端标识和访问路径;
所述计算模块,用于根据所述访问请求,计算所述客户端在预设时间内的离散度;
所述确定模块,用于根据所述离散度,确定所述客户端的访问行为是否为机器扫描。
6.根据权利要求5所述装置,其特征在于,所述确定模块还用于若所述离散度大于或等于预设阈值,则所述客户端的所述访问行为是机器扫描;
若所述离散度小于所述阈值,则所述客户端的访问行为是正常访问。
7.根据权利要求5所述装置,其特征在于,所述计算模块还包括访问次数更新单元和离散度更新单元;
所述访问次数更新单元,用于统计所述客户端在预设时间内访问所述访问路径的访问次数;
所述离散度更新单元,用于若所述客户端在预设时间内访问所述访问路径的所述访问次数为1,则将所述客户端的离散度加1。
8.根据权利要求7所述装置,其特征在于,所述访问次数更新单元还用于若所述客户端初次访问所述访问路径,则所述访问次数为1;
若所述客户端非首次访问所述访问路径,则在已有的所述访问次数上加1。
9.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
CN202010902423.8A 2020-09-01 2020-09-01 一种机器扫描的检测方法、装置、电子设备和存储介质 Pending CN112153011A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010902423.8A CN112153011A (zh) 2020-09-01 2020-09-01 一种机器扫描的检测方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010902423.8A CN112153011A (zh) 2020-09-01 2020-09-01 一种机器扫描的检测方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN112153011A true CN112153011A (zh) 2020-12-29

Family

ID=73890404

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010902423.8A Pending CN112153011A (zh) 2020-09-01 2020-09-01 一种机器扫描的检测方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN112153011A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113518064A (zh) * 2021-03-23 2021-10-19 杭州安恒信息技术股份有限公司 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070140275A1 (en) * 2005-12-21 2007-06-21 Chris Bowman Method of preventing denial of service attacks in a cellular network
CN101184094A (zh) * 2007-12-06 2008-05-21 北京启明星辰信息技术有限公司 一种适于局域网环境的网络节点扫描检测方法和系统
CN102857391A (zh) * 2012-08-21 2013-01-02 北京星网锐捷网络技术有限公司 一种检测ip扫描行为的方法、装置及网络设备
CN107172064A (zh) * 2017-06-08 2017-09-15 腾讯科技(深圳)有限公司 数据访问控制方法、装置及服务器
CN107666473A (zh) * 2016-07-29 2018-02-06 深圳市信锐网科技术有限公司 一种攻击检测的方法及控制器
CN108418835A (zh) * 2018-04-08 2018-08-17 北京明朝万达科技股份有限公司 一种基于Netflow日志数据的端口扫描攻击检测方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070140275A1 (en) * 2005-12-21 2007-06-21 Chris Bowman Method of preventing denial of service attacks in a cellular network
CN101184094A (zh) * 2007-12-06 2008-05-21 北京启明星辰信息技术有限公司 一种适于局域网环境的网络节点扫描检测方法和系统
CN102857391A (zh) * 2012-08-21 2013-01-02 北京星网锐捷网络技术有限公司 一种检测ip扫描行为的方法、装置及网络设备
CN107666473A (zh) * 2016-07-29 2018-02-06 深圳市信锐网科技术有限公司 一种攻击检测的方法及控制器
CN107172064A (zh) * 2017-06-08 2017-09-15 腾讯科技(深圳)有限公司 数据访问控制方法、装置及服务器
CN108418835A (zh) * 2018-04-08 2018-08-17 北京明朝万达科技股份有限公司 一种基于Netflow日志数据的端口扫描攻击检测方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
S. H. SELLKE等: "Modeling and Automated Containment of Worms", 《IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING》 *
刘庭华等: "自适应分布式端口扫描检测方法", 《计算机工程与设计》 *
宋礼鹏: "网络病毒动态交互模型及防御研究", 《中国博士学位论文全文数据库 信息科技辑》 *
邓守勋等: "基于Netflow的内网安全检测研究", 《计算机应用与软件》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113518064A (zh) * 2021-03-23 2021-10-19 杭州安恒信息技术股份有限公司 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质
CN113518064B (zh) * 2021-03-23 2023-04-07 杭州安恒信息技术股份有限公司 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质

Similar Documents

Publication Publication Date Title
WO2021109669A1 (zh) 恶意域名访问的检测方法、装置及计算机可读存储介质
CN107465651B (zh) 网络攻击检测方法及装置
CN107046544B (zh) 一种识别对网站的非法访问请求的方法和装置
TW201824047A (zh) 攻擊請求的確定方法、裝置及伺服器
CN107992738B (zh) 一种账号登录异常检测方法、装置及电子设备
CN110636068B (zh) 在cc攻击防护中识别未知cdn节点的方法以及装置
EP3178011A1 (en) Method and system for facilitating terminal identifiers
CN108270778B (zh) 一种dns域名异常访问检测方法及装置
CN109428857B (zh) 一种恶意探测行为的检测方法和装置
CN107395553B (zh) 一种网络攻击的检测方法、装置及存储介质
CN109361574B (zh) 基于JavaScript脚本的NAT检测方法、系统、介质和设备
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
CN109067794B (zh) 一种网络行为的检测方法和装置
CN107623693B (zh) 域名解析防护方法及装置、系统、计算设备、存储介质
CN107231383B (zh) Cc攻击的检测方法及装置
CN113949579B (zh) 网站攻击防御方法、装置、计算机设备及存储介质
CN113572793B (zh) 访问请求捕获方法、装置、计算机设备和存储介质
CN111314379A (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
CN111970262B (zh) 网站的第三方服务启用状态的检测方法、装置和电子装置
CN112153011A (zh) 一种机器扫描的检测方法、装置、电子设备和存储介质
CN107612946B (zh) Ip地址的检测方法、检测装置和电子设备
EP3789890A1 (en) Fully qualified domain name (fqdn) determination
CN112839005B (zh) Dns域名异常访问监控方法及装置
CN112583827A (zh) 一种数据泄露检测方法及装置
CN108650274B (zh) 一种网络入侵检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201229