CN114531262A - 识别漏洞扫描行为的方法和装置 - Google Patents

识别漏洞扫描行为的方法和装置 Download PDF

Info

Publication number
CN114531262A
CN114531262A CN202011320632.8A CN202011320632A CN114531262A CN 114531262 A CN114531262 A CN 114531262A CN 202011320632 A CN202011320632 A CN 202011320632A CN 114531262 A CN114531262 A CN 114531262A
Authority
CN
China
Prior art keywords
attack
address
vulnerability scanning
behavior
identifying
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011320632.8A
Other languages
English (en)
Inventor
马浩翔
陆晨晖
靳玮炜
秦博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202011320632.8A priority Critical patent/CN114531262A/zh
Publication of CN114531262A publication Critical patent/CN114531262A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提出一种识别漏洞扫描行为的方法和装置,涉及网络安全领域。从告警日志中获取其中一个攻击IP地址的告警信息,根据攻击IP地址的告警信息,计算第一维度信息,包括攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性,并计算第二维度信息,包括攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性,基于第一维度信息或第二维度信息中的一项或多项,识别攻击IP地址相应的行为是否为漏洞扫描行为。

Description

识别漏洞扫描行为的方法和装置
技术领域
本公开涉及网络安全领域,特别涉及一种识别漏洞扫描行为的方法和装置。
背景技术
随着国家网络空间安全战略和相关法律法规的贯彻执行,非授权的安全检测/攻击行为普遍存在。其中的漏洞扫描行为会触发安全检测/防护系统的大量告警日志,且难以与其它人工检测/攻击行为区分。
发明内容
本公开实施例所要解决的一个技术问题是:识别漏洞扫描行为。
本公开实施例,从告警日志中获取其中一个攻击IP地址的告警信息,根据攻击IP地址的告警信息,计算第一维度信息,包括攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性,并计算第二维度信息,包括攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性,基于第一维度信息或第二维度信息中的一项或多项,识别攻击IP地址相应的行为是否为漏洞扫描行为。
本公开一些实施例提出一种识别漏洞扫描行为的方法,包括:
从告警日志中获取其中一个攻击IP地址的告警信息;
根据所述攻击IP地址的告警信息,计算第一维度信息,包括所述攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性;
根据所述攻击IP地址的告警信息,计算第二维度信息,包括所述攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性;
根据所述第一维度信息或所述第二维度信息中的一项或多项,识别所述攻击IP地址相应的行为是否为漏洞扫描行为。
在一些实施例中,计算第一维度信息包括:
从攻击IP地址x的告警信息中,获取所述攻击IP地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数Ax,i,t,其中,识别漏洞扫描的时间窗口T包括多个子时间窗口t;
计算所述攻击IP地址x使用的第i种攻击方法的告警次数的均匀程度以及持续性
Figure BDA0002792778980000021
根据
Figure BDA0002792778980000022
计算所述攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性。
在一些实施例中,计算所述攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性包括:
根据
Figure BDA0002792778980000023
计算时间窗口T内所述攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性DT,1
在一些实施例中,计算第二维度信息包括:
从攻击IP地址x的告警信息中,获取所述攻击IP地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数Ax,i,t,其中,识别漏洞扫描的时间窗口T包括多个子时间窗口t;
计算
Figure BDA0002792778980000024
根据
Figure BDA0002792778980000025
计算所述攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性。
在一些实施例中,计算所述攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性包括:
根据
Figure BDA0002792778980000026
计算时间窗口T内所述攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性DT,2
在一些实施例中,识别所述攻击IP地址相应的行为是否为漏洞扫描行为包括:
如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值,识别所述攻击IP地址相应的行为是漏洞扫描行为;
如果所述第一维度信息和所述第二维度信息均不大于预设阈值,识别所述攻击IP地址相应的行为是非漏洞扫描行为。
在一些实施例中,识别所述攻击IP地址相应的行为是否为漏洞扫描行为包括:
在一个识别漏洞扫描的时间窗口T内,如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值,将所述攻击IP地址相应的行为判定为在时间窗口T内呈现漏洞扫描行为的显性状态,否则,将所述攻击IP地址相应的行为判定为在时间窗口T内呈现漏洞扫描行为的隐性状态;
根据展示窗口W包括的多个时间窗口T相应的漏洞扫描行为的判定状态,识别所述攻击IP地址相应的行为是否为漏洞扫描行为。
在一些实施例中,识别所述攻击IP地址相应的行为是否为漏洞扫描行为包括:
根据展示窗口W包括的多个时间窗口T相应的漏洞扫描行为的判定状态的众数或变化趋势,识别所述攻击IP地址相应的行为是否为漏洞扫描行为。
在一些实施例中,所述方法还包括:检测攻击IP地址发送的HTTP请求头信息中是否含有预设的漏洞扫描的指纹信息,如果含有,识别所述攻击IP地址相应的行为是漏洞扫描行为。
在一些实施例中,所述方法还包括:给攻击IP地址的HTTP响应头信息中注入一个cookie值;检测所述攻击IP地址以后的访问中所述cookie值是否还存在且不变,如果还存在且不变,识别所述攻击IP地址相应的行为是漏洞扫描行为。
在一些实施例中,所述方法还包括:给攻击IP地址的HTTP响应头信息中注入程序代码;检测所述攻击IP地址以后的访问中所述程序代码是否被执行,如果未被执行,识别所述攻击IP地址相应的行为是漏洞扫描行为。
本公开一些实施例提出一种识别漏洞扫描行为的装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行识别漏洞扫描行为的方法。
本公开一些实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现识别漏洞扫描行为的方法的步骤。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开。
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一些实施例的识别漏洞扫描行为的方法的流程示意图。
图2示出本公开另一些实施例的识别漏洞扫描行为的方法的流程示意图。
图3示出本公开一些实施例的识别漏洞扫描行为的装置的流程示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
除非特别说明,否则,本公开中的“第一”“第二”等描述用来区分不同的对象,并不用来表示大小或时序等含义。
发明人发现,漏洞扫描工具的目的和通常使用方法,是准确地执行各类已知全量测试项,自动执行有限次的扫描尝试,以快速地得到结果;而人工介入较多的交互型检测/攻击行为,相对漏洞扫描行为来说,使用少量上述漏洞扫描的结果作为攻击面,人为执行随机次数地较慢速地针对性测试。基于这些发现,提出本公开的基于告警日志统计实现的漏洞扫描行为识别方案。
图1示出本公开一些实施例的识别漏洞扫描行为的方法的流程示意图。
如图1所示,该实施例的方法包括:步骤110-140。
在步骤110,从告警日志中获取其中一个攻击IP地址的告警信息。
告警日志中记录了触发告警日志的时间、攻击IP地址、使用的攻击方法等告警信息。从告警日志中可以将某个待分析的攻击IP地址的告警信息提取出来。
在步骤120,根据攻击IP地址的告警信息,计算第一维度信息,包括攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性。
在一些实施例中,计算攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性包括:从攻击IP地址x的告警信息中,获取攻击IP地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数Ax,i,t,其中,识别漏洞扫描的时间窗口T包括多个子时间窗口t;计算攻击IP地址x使用的第i种攻击方法的告警次数的均匀程度以及持续性
Figure BDA0002792778980000051
根据
Figure BDA0002792778980000052
计算攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性,例如,根据
Figure BDA0002792778980000053
计算时间窗口T内攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性DT,1。前述DT,1计算公式所计算的DT,1范围在0~1之间。但是,DT,1并不局限于前述公式,例如,其中的1可以替换为替他常数。
根据前述发现人发现的漏洞扫描行为的特点,第一维度信息(即,攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性)越高,攻击IP地址相应的行为是漏洞扫描行为的概率越大。
在步骤130,根据攻击IP地址的告警信息,计算第二维度信息,包括攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性。
在一些实施例中,计算攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性包括:从攻击IP地址x的告警信息中,获取攻击IP地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数xx,i,t,其中,识别漏洞扫描的时间窗口T包括多个子时间窗口t;计算
Figure BDA0002792778980000061
根据
Figure BDA0002792778980000062
计算攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性,例如,根据
Figure BDA0002792778980000063
Figure BDA0002792778980000064
计算时间窗口T内攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性DT,2。前述DT,2计算公式所计算的DT,2范围在0~1之间。但是,DT,2并不局限于前述公式,例如,其中的1可以替换为替他常数。
根据前述发现人发现的漏洞扫描行为的特点,第二维度信息(即,攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性)越高,攻击IP地址相应的行为是漏洞扫描行为的概率越大。
在步骤140,根据第一维度信息或第二维度信息中的一项或多项,识别攻击IP地址相应的行为是否为漏洞扫描行为。
上述实施例从告警日志中获取其中一个攻击IP地址的告警信息,根据攻击IP地址的告警信息,计算第一维度信息,包括攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性,并计算第二维度信息,包括攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性,基于第一维度信息或第二维度信息中的一项或多项,识别攻击IP地址相应的行为是否为漏洞扫描行为。
在一些实施例中,识别攻击IP地址相应的行为是否为漏洞扫描行为包括:如果第一维度信息或第二维度信息中任意一项大于预设阈值,识别攻击IP地址相应的行为是漏洞扫描行为;如果第一维度信息和第二维度信息均不大于预设阈值,识别攻击IP地址相应的行为是非漏洞扫描行为。
进一步的,如果第一维度信息和第二维度信息均大于预设阈值,代表在时间窗口T内攻击IP地址相应的行为是持续均匀的漏洞扫描攻击;
如果第一维度信息大于预设阈值、第二维度信息不大于预设阈值,代表在时间窗口T内攻击IP地址相应的行为是持续均匀的暴力破解/弱口令类漏洞扫描攻击;
如果第一维度信息不大于预设阈值、第二维度信息大于预设阈值,代表在时间窗口T内攻击IP地址相应的行为是无规律的漏洞扫描攻击;
如果第一维度信息和第二维度信息均不大于预设阈值,代表在时间窗口T内攻击IP地址相应的行为是非漏洞扫描行为。
从而,通过两个维度综合地识别攻击IP地址相应的行为是否为漏洞扫描行为,可以提高识别地准确性。
在另一些实施例中,识别攻击IP地址相应的行为是否为漏洞扫描行为包括:在一个识别漏洞扫描的时间窗口T内,如果第一维度信息或第二维度信息中任意一项大于预设阈值,将攻击IP地址相应的行为判定为在时间窗口T内呈现漏洞扫描行为的显性状态,否则,如果第一维度信息和第二维度信息均不大于预设阈值,将攻击IP地址相应的行为判定为在时间窗口T内呈现漏洞扫描行为的隐性状态;根据展示窗口W包括的多个时间窗口T相应的漏洞扫描行为的判定状态,综合地识别攻击IP地址相应的行为是否为漏洞扫描行为,可以进一步提高识别地准确性。
如果DT,1显性和DT,2显性:代表在时间窗口T内是持续均匀的漏洞扫描攻击;
如果DT,1显性和DT,2隐性:代表在时间窗口T内是持续均匀的暴力破解/弱口令类漏洞扫描攻击;
如果DT,1隐性和DT,2显性:代表在时间窗口T内是无规律的漏洞扫描攻击;
如果DT,1隐性和DT,2隐性:代表在时间窗口T内没有漏洞扫描攻击。
其中,根据展示窗口W包括的多个时间窗口T相应的漏洞扫描行为的判定状态的众数,识别攻击IP地址相应的行为是否为漏洞扫描行为。
例如,针对展示窗口W中的所有时间窗口T,如果较多的时间窗口T相应的漏洞扫描行为是显性状态,识别攻击IP地址相应的行为是漏洞扫描行为;如果较多的时间窗口T相应的漏洞扫描行为是隐性状态,识别攻击IP地址相应的行为不是漏洞扫描行为。但不限于所举示例。
其中,根据展示窗口W包括的多个时间窗口T相应的漏洞扫描行为的判定状态的变化趋势,识别攻击IP地址相应的行为是否为漏洞扫描行为。
例如,针对展示窗口W中的所有时间窗口T,如果各个时间窗口T相应的漏洞扫描行为稳定地呈现显性状态,识别攻击IP地址相应的行为是漏洞扫描行为;如果各个时间窗口T相应的漏洞扫描行为稳定地呈现隐性状态,识别攻击IP地址相应的行为不是漏洞扫描行为;如果各个时间窗口T相应的漏洞扫描行为的判定状态呈现波动,但最终趋于显性状态,识别攻击IP地址相应的行为是漏洞扫描行为;如果各个时间窗口T相应的漏洞扫描行为的判定状态呈现波动,但最终趋于隐性状态,识别攻击IP地址相应的行为不是漏洞扫描行为。但不限于所举示例。
在一些实施例中,时间窗口T例如设置为5分钟,子时间窗口t例如设置为1分钟,展示窗口W例如设置为1小时。但不限于所举示例。
在一些实施例中,预设阈值例如设置为0.6。但不限于所举示例。
图2示出本公开另一些实施例的识别漏洞扫描行为的方法的流程示意图。
如图2所示,该实施例的方法除了包括步骤110-140之外,还可以包括步骤210-230中的一个或多个。
在步骤210,基于网络流量,检测攻击IP地址发送的HTTP请求头信息中是否含有预设的漏洞扫描的指纹信息;如果含有,识别攻击IP地址相应的行为是漏洞扫描行为;如果不含有,执行步骤110-140进一步识别,或者,执行步骤220-230中的一个或多个之后,再执行步骤110-140进一步识别。
在步骤220,基于网络流量,给攻击IP地址的HTTP响应头信息中注入一个cookie值(一种计算机文件),检测攻击IP地址以后的访问中cookie值是否还存在且不变;如果还存在且不变,识别攻击IP地址相应的行为是漏洞扫描行为;如果存在但是变化,执行步骤110-140进一步识别,或者,执行步骤230之后,再执行步骤110-140进一步识别。
在步骤230,基于网络流量,给攻击IP地址的HTTP响应头信息中注入程序代码(如JavaScript程序代码),检测攻击IP地址以后的访问中程序代码是否被执行;如果未被执行,识别攻击IP地址相应的行为是漏洞扫描行为;如果被执行,执行步骤110-140进一步识别。
在基于告警日志统计实现的漏洞扫描行为识别方案的基础上,结合指纹识别、cookie识别、程序代码识别等识别方案,提高识别的准确性和识别效率。
图3示出本公开一些实施例的识别漏洞扫描行为的装置的流程示意图。
如图3所示,识别漏洞扫描行为的装置300包括:存储器310以及耦接至该存储器310的处理器320,处理器320被配置为基于存储在存储器310中的指令,执行前述任意一些实施例中的识别漏洞扫描行为的方法。
其中,存储器310例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
装置300还可以包括输入输出接口330、网络接口340、存储接口350等。这些接口330,340,350以及存储器310和处理器320之间例如可以通过总线360连接。其中,输入输出接口330为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口340为各种联网设备提供连接接口。存储接口350为SD卡、U盘等外置存储设备提供连接接口。
本公开实施例还提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一个实施例的识别漏洞扫描行为的方法的步骤。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (11)

1.一种识别漏洞扫描行为的方法,其特征在于,包括:
从告警日志中获取其中一个攻击IP地址的告警信息;
根据所述攻击IP地址的告警信息,计算第一维度信息,包括所述攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性;
根据所述攻击IP地址的告警信息,计算第二维度信息,包括所述攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性;
根据所述第一维度信息或所述第二维度信息中的一项或多项,识别所述攻击IP地址相应的行为是否为漏洞扫描行为。
2.根据权利要求1所述的方法,其特征在于,计算第一维度信息包括:
从攻击IP地址x的告警信息中,获取所述攻击IP地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数Ax,i,t,其中,识别漏洞扫描的时间窗口T包括多个子时间窗口t;
计算所述攻击IP地址x使用的第i种攻击方法的告警次数的均匀程度以及持续性
Figure FDA0002792778970000011
根据
Figure FDA0002792778970000012
计算所述攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性。
3.根据权利要求2所述的方法,其特征在于,计算所述攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性包括:
根据
Figure FDA0002792778970000013
计算时间窗口T内所述攻击IP地址x使用的同种攻击方法的告警次数的均匀程度以及持续性DT,1
4.根据权利要求1所述的方法,其特征在于,计算第二维度信息包括:
从攻击IP地址x的告警信息中,获取所述攻击IP地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数Ax,i,t,其中,识别漏洞扫描的时间窗口T包括多个子时间窗口t;
计算
Figure FDA0002792778970000021
根据
Figure FDA0002792778970000022
计算所述攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性。
5.根据权利要求4所述的方法,其特征在于,计算所述攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性包括:
根据
Figure FDA0002792778970000023
计算时间窗口T内所述攻击IP地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性DT,2
6.根据权利要求1所述的方法,其特征在于,识别所述攻击IP地址相应的行为是否为漏洞扫描行为包括:
如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值,识别所述攻击IP地址相应的行为是漏洞扫描行为;
如果所述第一维度信息和所述第二维度信息均不大于预设阈值,识别所述攻击IP地址相应的行为是非漏洞扫描行为。
7.根据权利要求1所述的方法,其特征在于,识别所述攻击IP地址相应的行为是否为漏洞扫描行为包括:
在一个识别漏洞扫描的时间窗口T内,如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值,将所述攻击IP地址相应的行为判定为在时间窗口T内呈现漏洞扫描行为的显性状态,否则,将所述攻击IP地址相应的行为判定为在时间窗口T内呈现漏洞扫描行为的隐性状态;
根据展示窗口W包括的多个时间窗口T相应的漏洞扫描行为的判定状态,识别所述攻击IP地址相应的行为是否为漏洞扫描行为。
8.根据权利要求7所述的方法,其特征在于,识别所述攻击IP地址相应的行为是否为漏洞扫描行为包括:
根据展示窗口W包括的多个时间窗口T相应的漏洞扫描行为的判定状态的众数或变化趋势,识别所述攻击IP地址相应的行为是否为漏洞扫描行为。
9.根据权利要求1所述的方法,其特征在于,还包括:
检测攻击IP地址发送的HTTP请求头信息中是否含有预设的漏洞扫描的指纹信息,如果含有,识别所述攻击IP地址相应的行为是漏洞扫描行为;
或者,给攻击IP地址的HTTP响应头信息中注入一个cookie值;检测所述攻击IP地址以后的访问中所述cookie值是否还存在且不变,如果还存在且不变,识别所述攻击IP地址相应的行为是漏洞扫描行为;
或者,给攻击IP地址的HTTP响应头信息中注入程序代码;检测所述攻击IP地址以后的访问中所述程序代码是否被执行,如果未被执行,识别所述攻击IP地址相应的行为是漏洞扫描行为。
10.一种识别漏洞扫描行为的装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-9中任一项所述的识别漏洞扫描行为的方法。
11.一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-9中任一项所述的识别漏洞扫描行为的方法的步骤。
CN202011320632.8A 2020-11-23 2020-11-23 识别漏洞扫描行为的方法和装置 Pending CN114531262A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011320632.8A CN114531262A (zh) 2020-11-23 2020-11-23 识别漏洞扫描行为的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011320632.8A CN114531262A (zh) 2020-11-23 2020-11-23 识别漏洞扫描行为的方法和装置

Publications (1)

Publication Number Publication Date
CN114531262A true CN114531262A (zh) 2022-05-24

Family

ID=81619270

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011320632.8A Pending CN114531262A (zh) 2020-11-23 2020-11-23 识别漏洞扫描行为的方法和装置

Country Status (1)

Country Link
CN (1) CN114531262A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
CN108900514A (zh) * 2018-07-04 2018-11-27 杭州安恒信息技术股份有限公司 基于同源分析的攻击信息追踪溯源方法及装置
US10454963B1 (en) * 2015-07-31 2019-10-22 Tripwire, Inc. Historical exploit and vulnerability detection
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN111262730A (zh) * 2020-01-10 2020-06-09 中国银联股份有限公司 一种告警信息的处理方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10454963B1 (en) * 2015-07-31 2019-10-22 Tripwire, Inc. Historical exploit and vulnerability detection
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
CN108900514A (zh) * 2018-07-04 2018-11-27 杭州安恒信息技术股份有限公司 基于同源分析的攻击信息追踪溯源方法及装置
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN111262730A (zh) * 2020-01-10 2020-06-09 中国银联股份有限公司 一种告警信息的处理方法及装置

Similar Documents

Publication Publication Date Title
US11570211B1 (en) Detection of phishing attacks using similarity analysis
KR101122650B1 (ko) 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
US9239922B1 (en) Document exploit detection using baseline comparison
US20080120720A1 (en) Intrusion detection via high dimensional vector matching
CN108924118B (zh) 一种撞库行为检测方法及系统
CN107851156B (zh) 分析方法、分析装置和记录介质
KR20180081053A (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
CN107426136B (zh) 一种网络攻击的识别方法和装置
EP3172692A1 (en) Remedial action for release of threat data
CN112668005A (zh) webshell文件的检测方法及装置
CN112905996A (zh) 基于多维度数据关联分析的信息安全溯源系统及方法
CN111104670B (zh) 一种apt攻击的识别和防护方法
CN106850632B (zh) 一种异常组合数据的检测方法及装置
CN110691090B (zh) 网站检测方法、装置、设备及存储介质
CN114531262A (zh) 识别漏洞扫描行为的方法和装置
EP3580677B1 (en) Identifying human interaction with a computer
CN106778276B (zh) 一种检测无实体文件恶意代码的方法及系统
EP3614285A1 (en) Active testing of access control policy
CN106874759B (zh) 一种木马随机化行为的识别方法及系统
CN113923039B (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN115664868A (zh) 安全等级确定方法、装置、电子设备和存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN110830518B (zh) 溯源分析方法、装置、电子设备及存储介质
CN110674501B (zh) 恶意驱动检测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination