CN115102728B - 一种用于信息安全的扫描器识别方法、装置、设备及介质 - Google Patents

一种用于信息安全的扫描器识别方法、装置、设备及介质 Download PDF

Info

Publication number
CN115102728B
CN115102728B CN202210653025.6A CN202210653025A CN115102728B CN 115102728 B CN115102728 B CN 115102728B CN 202210653025 A CN202210653025 A CN 202210653025A CN 115102728 B CN115102728 B CN 115102728B
Authority
CN
China
Prior art keywords
malicious
scanner
encryption suite
suite information
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210653025.6A
Other languages
English (en)
Other versions
CN115102728A (zh
Inventor
钟丹东
常冰冰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Baowangda Software Technology Co ltd
Original Assignee
Jiangsu Baowangda Software Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Baowangda Software Technology Co ltd filed Critical Jiangsu Baowangda Software Technology Co ltd
Priority to CN202210653025.6A priority Critical patent/CN115102728B/zh
Publication of CN115102728A publication Critical patent/CN115102728A/zh
Application granted granted Critical
Publication of CN115102728B publication Critical patent/CN115102728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用于信息安全的扫描器识别方法、装置、设备及介质。方法包括:获取待识别流量的第一加密套件信息;将所述第一加密套件信息输入预先训练的恶意扫描器识别模型中进行识别,其中,该恶意扫描器识别模型通过至少一种恶意扫描器的第二加密套件信息训练得到;根据所述恶意扫描器识别模型确定所述待识别流量的识别结果。本发明实施例提供的技术方案基于恶意存储器的加密套件信息的特征,对恶意扫描器识别模型进行机器学习训练,通过恶意扫描器所使用的加密套件的相关特征,从而确定待识别流量是否来自恶意扫描器,提升了识别的准确性。

Description

一种用于信息安全的扫描器识别方法、装置、设备及介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种用于信息安全的扫描器识别方法、装置、设备及介质。
背景技术
随着网络安全攻击行为的增加,攻击的危害和影响也越来越大。通常,攻击者会先利用恶意扫描器进行漏洞扫描以获取系统漏洞,再利用获取到的系统漏洞进行攻击。因此为了防范恶意的漏洞扫描,快速准确地识别恶意扫描器非常必要。目前,针对加密流量无法对其进行逆向解析,从而无法识别加密流量是否来自恶意扫描器。
目前,对于加密流量的检测方法通常通过观测网络出口的加密通信流量,通过利用已经掌握的数据资源,对加密流量进行判别。
在进行恶意扫描器识别时,会对加密流量基于行为分析去判定是否存在恶意扫描行为,识别源IP地址舆情是否属于恶意IP、是否是高频攻击、请求URL和参数是否存在恶意payload特征、字节长度、源端口访问规律等。通过这种方式识别恶意扫描行为效果不明显,误报率高。
发明内容
本发明提供了一种用于信息安全的扫描器识别方法、装置、设备及介质,以解决目前对于加密流量进行恶意扫描器识别时效果不明显、误报率高的问题。
根据本发明的一方面,提供了一种扫描器识别方法,包括:
获取待识别流量的第一加密套件信息;
将所述第一加密套件信息输入预先训练的恶意扫描器识别模型中进行识别,其中,该恶意扫描器识别模型通过至少一种恶意扫描器的第二加密套件信息训练得到;
根据所述恶意扫描器识别模型确定所述待识别流量的识别结果。
可选的,所述恶意扫描器识别模型,通过如下方式训练:
获取至少一种恶意扫描器的至少一种所述第二加密套件信息,建立恶意扫描器样本库;
获取至少一种恶意流量,提取至少一种所述恶意流量对应的第三加密套件信息;
根据所述第三加密套件信息生成恶意流量样本库;
根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
可选的,所述根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练,包括:
从所述恶意扫描器样本库中随机选择一个目标恶意扫描器;
根据所述目标恶意扫描器的目标加密套件信息确定K-means初始聚类中心;
计算其他恶意扫描器的第二加密套件信息与已有聚类中心的距离;
根据所述其他恶意扫描器的第二加密套件信息与已有聚类中心的距离确定下一聚类中心;
重复上一步骤,直至所述聚类中心的数量达到预设值,得到K-means聚类模型;
根据所述K-means聚类模型和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
可选的,所述根据所述K-means聚类模型和所述恶意流量样本库对所述恶意扫描器识别模型进行训练,包括:
将所述恶意流量样本库中至少一种所述恶意流量对应的第三加密套件信息输入所述K-means聚类模型;
确定所述K-means聚类模型的目标训练子参数,其中,每种所述第三加密套件信息中包括至少一种训练子参数;
将所述第三加密套件信息输入所述K-means聚类模型;
所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果;
根据每种第三加密套件信息实际对应的恶意扫描器对所述K-means聚类模型的所述识别结果进行验证,直到所述K-means聚类模型收敛。
可选的,该方法还包括:
设置每种所述目标训练子参数的权重;
所述K-means聚类模型根据所述权重调整每个所述聚类中心的位置;
所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果。
可选的,该方法还包括:
对所述K-means聚类模型的所述识别结果进行异常结果分析;
当所述识别结果异常时,删除该识别结果。
可选的,所述根据所述恶意扫描器识别模型确定所述待识别流量的识别结果,包括:
确定所述第一加密套件信息与所述K-means聚类模型中每个所述聚类中心的距离是否均大于预设阈值;
当所述第一加密套件信息与每个所述聚类中心的距离均大于所述阈值时,确定所述待识别流量不来自所述恶意扫描器;
当所述第一加密套件信息与至少一个所述聚类中心的距离不大于所述阈值时,确定距离最小的聚类中心对应的恶意扫描器;
确定所述待识别流量属于该恶意扫描器。
根据本发明的另一方面,提供了一种扫描器识别裝置,包括:
加密套件信息获取单元,用于获取待识别流量的第一加密套件信息;
加密套件信息输入单元,用于将所述第一加密套件信息输入预先训练的恶意扫描器识别模型中进行识别,其中,该恶意扫描器识别模型通过至少一种恶意扫描器的第二加密套件信息训练得到;
识别结果确定单元,用于根据所述恶意扫描器识别模型确定所述待识别流量的识别结果。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的扫描器识别方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的扫描器识别方法。
本发明实施例的技术方案,通过获取待识别流量的第一加密套件信息,并将第一加密套件信息输入恶意扫描器识别模型中进行识别,恶意扫描器识别模型通过已知的至少一种恶意扫描器对应的第二加密套件信息训练得到。通过对第一加密套件信息进行识别,能够确定第一加密套件信息是否对应恶意扫描器,并以此得到待识别流量的识别结果。本发明实施例提供的技术方案基于恶意存储器的加密套件信息的特征,对恶意扫描器识别模型进行机器学习训练,通过恶意扫描器所使用的加密套件的相关特征,从而确定待识别流量是否来自恶意扫描器,提升了识别的准确性。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种扫描器识别方法的流程图;
图2为本发明实施例二提供的一种恶意扫描器识别模型训练方法的流程图;
图3为本发明实施例二提供的另一种恶意扫描器识别模型训练方法的流程图;
图4为本发明实施例二提供的另一种恶意扫描器识别模型训练方法的流程图;
图5为本发明实施例二提供的一种识别结果确定方法的流程图;
图6为根据本发明实施例三提供的一种扫描器识别裝置的结构示意图;
图7为实现本发明实施例的扫描器识别方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供的一种扫描器识别方法的流程图,本实施例可适用于对加密流量进行恶意扫描器识别的情况,该方法可以由扫描器识别裝置来执行,该扫描器识别裝置可以采用硬件和/或软件的形式实现。如图1所示,该方法包括:
S110、获取待识别流量的第一加密套件信息。
网络安全运营者在面对非加密流量时可以通过镜像网络流量,借助第三方流量分析设备实现恶意攻击行为的分析识别,主要是通过攻击IP舆情信息、攻击payload特征、频率、报文长度特征等进行威胁分析,面对tls加密流量时,由于加密方法多样包含对称和非对称加密,无法对加密流量通过解密算法进行逆向解析,从而无法识别加密流量的恶意攻击扫描行为,出于保护用户隐私的考量,不解密进行流量检测的方法逐渐被业界研究人员关注起来,这种方案通常仅被允许观测网络出口的加密通信流量,但无需对其进行解密,通过利用已经掌握的数据资源,对加密流量进行判别。其中,待识别流量对应加密流量,第一加密套件信息为加密流量所使用的扫描器的扫米奇漆的加密套件信息。具体的,通过对加密流量进行镜像,得到镜像流量包(即加密流量),提取其tls握手信息中的第一加密套件信息,包括Cipher Suite和Extension字段内容。
S120、将所述第一加密套件信息输入预先训练的恶意扫描器识别模型中进行识别,其中,该恶意扫描器识别模型通过至少一种恶意扫描器的第二加密套件信息训练得到。
其中,恶意扫描器识别模型用于通过待识别流量的加密套件信息确定该待识别流量是否来自恶意扫描器。恶意扫描器识别模型通过已知的至少一种恶意扫描器的第二加密套件信息进行训练,恶意扫描器识别模型为恶意扫描器进行扫描时的tls握手信息,通过对多个恶意扫描器的tls握手信息进行学习,从而对第一加密套件信息进行识别,确定其是否属于恶意扫描器。
S130、根据所述恶意扫描器识别模型确定所述待识别流量的识别结果。
其中,恶意扫描器识别模型通过对待识别流量的第一加密套件信息进行识别,由于恶意扫描器识别模型通过恶意扫描器的恶意扫描器识别模型训练得到,因此能够确定待识别流量是否属于恶意扫描器,得到待识别流量的识别结果。
本发明实施例的技术方案,通过获取待识别流量的第一加密套件信息,并将第一加密套件信息输入恶意扫描器识别模型中进行识别,恶意扫描器识别模型通过已知的至少一种恶意扫描器对应的第二加密套件信息训练得到。通过对第一加密套件信息进行识别,能够确定第一加密套件信息是否对应恶意扫描器,并以此得到待识别流量的识别结果。本发明实施例提供的技术方案基于恶意存储器的加密套件信息的特征,对恶意扫描器识别模型进行机器学习训练,通过恶意扫描器所使用的加密套件的相关特征,从而确定待识别流量是否来自恶意扫描器,提升了识别的准确性。
实施例二
图2为本发明实施例二提供的一种恶意扫描器识别模型训练方法的流程图,本实施例在上述实施例的基础上进行进一步解释说明。如图2所示,该方法包括:
S210、获取至少一种恶意扫描器的至少一种所述第二加密套件信息,建立恶意扫描器样本库。
其中,对不同的恶意扫描器进行分析,通过抓包获取各恶意扫描器扫描时的流量tls握手信息,对提取到相关信息对应的扫描器名称和扫描器版本建立映射关系,形成恶意扫描器样本库。比如,恶意扫描器样本库中包括的项目为扫描器名称、扫描器版本、加密套件数量和第二加密套件信息。
S220、获取至少一种恶意流量,提取至少一种所述恶意流量对应的第三加密套件信息。
S230、根据所述第三加密套件信息生成恶意流量样本库。
其中,通过使用公开的恶意软件结果集产生的恶意流量进行特征提取,得到恶意流量对应的第三加密套件信息,根据第三加密套件信息生成恶意流量样本库。恶意流量样本库用于保存恶意流量的相关加密套件信息。
S240、根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
其中,恶意扫描器样本库中包括恶意扫描器对应的第二加密套件信息,而所述恶意流量样本库为恶意流量对应的第三加密套件信息,且第三加密套件信息实际上也对应一恶意扫描器,因此通过二者进行训练可以得到能够对加密流量的加密套件信息进行识别并确定其恶意扫描器的识别模型。
图3为本发明实施例二提供的另一种恶意扫描器识别模型训练方法的流程图,如图3所示,该方法包括以下步骤:
S310、从所述恶意扫描器样本库中随机选择一个目标恶意扫描器。
S320、根据所述目标恶意扫描器的目标加密套件信息确定K-means初始聚类中心。
其中,恶意扫描器识别模型的训练方法通过K-means算法来实现。首先搭载spark的计算环境,对大流量的数据进行提取和及其学习算法运算。K-means对特征向量归一化,递归求出密度最大的聚类中心,计算每个特征向量到聚类中心的距离,距离聚类中心的距离能够体现该向量的情况。每个特征向量即恶意扫描器的第二加密套件信息。首先从恶意扫描器样本库中随机选择一个目标恶意扫描器,根据其第二加密套件信息生成特征向量,并将该特征向量作为K-means算法中的第一个聚类中心。
S330、计算其他恶意扫描器的第二加密套件信息与已有聚类中心的距离。
S340、根据所述其他恶意扫描器的第二加密套件信息与已有聚类中心的距离确定下一聚类中心。
其中,在确定第一个聚类中心后,将其他恶意扫描器的第二加密套件信息转换为特征向量,并计算与第一个聚类中心的距离,距离值越大,表示其被选为下一个聚类中心的概率较大。可以使用轮盘法等方法选出下一个聚类中心。
S350、重复上一步骤,直至所述聚类中心的数量达到预设值,得到K-means聚类模型。
每当选出聚类中心之后,计算剩余的特征向量与每个聚类中心的距离,并确定下一个聚类中心,直到选出预设数量的k个聚类中心,即得到K-means聚类模型。
S360、根据所述K-means聚类模型和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
其中,在得到K-means聚类模型后,其与恶意流量样本库构成恶意扫描器识别模型,通过对恶意扫描器识别模型进行训练,从而对待识别流量进行识别,确定待识别流量的识别结果。
图4为本发明实施例二提供的另一种恶意扫描器识别模型训练方法的流程图,如图4所示,该方法包括:
S410、将所述恶意流量样本库中至少一种所述恶意流量对应的第三加密套件信息输入所述K-means聚类模型。
其中,可以将所有样本集分为8:2的样本,8份为训练样本,2份为测试样本,在对K-means聚类模型进行训练时,首先需要数据恶意流量对应的第三加密套件信息,模拟对待识别流量进行识别。
S420、确定所述K-means聚类模型的目标训练子参数,其中,每种所述第三加密套件信息中包括至少一种训练子参数。
其中,第三加密套件信息在K-means聚类模型作为基础测试数据录入,其可以包括以下几种特征的一种或多种:通过流量日志中的唯一会话值、TLS的加密套件数量和集合值、TLS扩展属性的数量和集合值,以上三者即为训练子参数。在进行训练前,需要选择当前训练时需要考虑的相关训练子参数。
S430、将所述第三加密套件信息输入所述K-means聚类模型。
S440、所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果。
距离来说,当目标训练子参数为加密套件数量时,首先将第三加密套件信息中的加密套件数量提取出来,并生成特征向量,根据特征向量确定k个聚类中心。确定恶意流量的第二加密套件信息汇总的加密套件数量,生成特征向量,并确定该特征向量与聚类中心的距离,确定在识别结果中恶意流量属于哪种恶意扫描器。
S450、根据每种第三加密套件信息实际对应的恶意扫描器对所述K-means聚类模型的所述识别结果进行验证,直到所述K-means聚类模型收敛。
其中,识别结果用于表示K-means聚类模型确定的第三加密套件信息属于哪种恶意扫描器,再根据恶意流量实际对应的恶意扫描器与K-means聚类模型的识别结果进行对比验证。重复上述训练步骤直到K-means聚类模型收敛。
在本发明实施例二中,该方法还可以包括:设置每种所述目标训练子参数的权重;
所述K-means聚类模型根据所述权重调整每个所述聚类中心的位置;
所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果。
其中,当目标训练子参数的数量多于一种时,当得到K-means聚类模型的识别结果时,可以人工对结果进行排查,确定其识别准确率。当识别准确率不理想时,可以对不同训练子参数的权重进行调整,由于各目标训练子参数的权重发生了改变,每个聚类中心的位置也会发生改变,K-means聚类模型会重新进行学习训练,直到识别准确率高于一定标准。此外,还可以通过假设法来提高学习精度,按照训练样本数据计算出距离最大值,假设异常概率为99.9%,按照异常概率预估模型阈值,计算出0.01%异常结果,人力排查计算结果真阳率,按照模型结果调整异常概率值。
在本发明实施例二中,该方法还包括:对所述K-means聚类模型的所述识别结果进行异常结果分析;
当所述识别结果异常时,删除该识别结果。
其中,对于识别过程中得到了异常结果的情况,可以根据异常结果的分析情况对训练子参数进行组合,防止不同的训练子参数对识别结果产生干扰,提高识别准确率。此外,也可以通过去除异常识别结果的方式来去除无用特征。
图5为本发明实施例二提供的一种识别结果确定方法的流程图。如图5所示,该方法包括:
S510、确定所述第一加密套件信息与所述K-means聚类模型中每个所述聚类中心的距离是否均大于预设阈值。
其中,由于K-means聚类模型中的每个聚类中心对应一个恶意扫描器的第三加密套件信息,因此与聚类中心的距离能够反映第一加密套件信息接近于哪种第三加密套件信息对应的恶意扫描器。但当与某一聚类中心的距离大于预设阈值时,表示两者的差距较大,即使在所有聚类中心中,第一加密套件信息的特征向量与该聚类中心的距离都小于与其他聚类中心的距离,待识别流量也不能被认为是属于该聚类中心对应的恶意扫描器。
S520、当所述第一加密套件信息与每个所述聚类中心的距离均大于所述阈值时,确定所述待识别流量不来自所述恶意扫描器。
当第一加密套件信息的特征向量与每个聚类中心的距离都大于阈值时,表示该特征向量不属于任一已有的聚类中心,相应的,待识别流量不属于恶意识别器。比如,待识别流量的加密套件数量为10,通常来说,浏览器的加密套件数量较少,因为其只需要较少的加密套件即可完成浏览访问等基础功能。而恶意扫描器由于需要执行恶意扫描等攻击行为,通常加密套件的数量会较多,假设根据设置的阈值,转换为加密套件的数量差距为10个,4个聚类中心对应的恶意扫描器的加密套件数量分别为60、90、50和80,此时,待识别流量的加密套件数量10与任何一个恶意扫描器的加密套件数量差都大于10,则待识别流量不来自于恶意扫描器。
S530、确定距离最小的聚类中心对应的恶意扫描器,确定所述待识别流量属于该恶意扫描器。
其中,当第一加密套件信息的特征向量与至少一个聚类中心的距离小于阈值时,根据距离的远近确定其最靠近的聚类中心,表示第一加密套件信息与该聚类中心的恶意扫描器的第三加密套件信息相似,可以认为待识别流量来自于该第三加密套件信息对应的恶意扫描器。
本发明在关注的点是识别恶意扫描器,而非所有的加密流量的恶意行为识别,同时使用了人工对市面各种扫描器的版本进行模拟测试,获取扫描器的最真实的TLS加密套件信息,提升机器学习精确度,使用K-maeans算法,在面对大流量时提升由于算法复杂度高,导致的识别性能低的问题,提升大流量数据的分析效率,结合算法的特性结合假设法、权重法、组合特征、去噪声等提升机器学习结果的准确性。
实施例三
图6为本发明实施例三提供的一种扫描器识别裝置的结构示意图。如图6所示,该装置包括:
加密套件信息获取单元610,用于获取待识别流量的第一加密套件信息;
加密套件信息输入单元620,用于将所述第一加密套件信息输入预先训练的恶意扫描器识别模型中进行识别,其中,该恶意扫描器识别模型通过至少一种恶意扫描器的第二加密套件信息训练得到;
识别结果确定单元630,用于根据所述恶意扫描器识别模型确定所述待识别流量的识别结果。
如图6所示,在本发明实施例三中,该装置还包括:恶意扫描器识别模型训练单元640;
恶意扫描器识别模型训练单元640,通过如下方式训练所述恶意扫描器识别模型:
获取至少一种恶意扫描器的至少一种所述第二加密套件信息,建立恶意扫描器样本库;
获取至少一种恶意流量,提取至少一种所述恶意流量对应的第三加密套件信息;
根据所述第三加密套件信息生成恶意流量样本库;
根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
在本发明实施例三中,识别模型训练单元640在执行所述根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练时,具体执行:
从所述恶意扫描器样本库中随机选择一个目标恶意扫描器;
根据所述目标恶意扫描器的目标加密套件信息确定K-means初始聚类中心;
计算其他恶意扫描器的第二加密套件信息与已有聚类中心的距离;
根据所述其他恶意扫描器的第二加密套件信息与已有聚类中心的距离确定下一聚类中心;
重复上一步骤,直至所述聚类中心的数量达到预设值,得到K-means聚类模型;
根据所述K-means聚类模型和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
在本发明实施例三中,识别模型训练单元640在执行,所述根据所述K-means聚类模型和所述恶意流量样本库对所述恶意扫描器识别模型进行训练时,具体执行:
将所述恶意流量样本库中至少一种所述恶意流量对应的第三加密套件信息输入所述K-means聚类模型;
确定所述K-means聚类模型的目标训练子参数,其中,每种所述第三加密套件信息中包括至少一种训练子参数;
将所述第三加密套件信息输入所述K-means聚类模型;
所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果;
根据每种第三加密套件信息实际对应的恶意扫描器对所述K-means聚类模型的所述识别结果进行验证,直到所述K-means聚类模型收敛。
在本发明实施例三中,识别模型训练单元640,还用于执行:
设置每种所述目标训练子参数的权重;
所述K-means聚类模型根据所述权重调整每个所述聚类中心的位置;
所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果。
在本发明实施例三中,识别模型训练单元640,还用于执行:
对所述K-means聚类模型的所述识别结果进行异常结果分析;
当所述识别结果异常时,删除该识别结果。
在本发明实施例三中,识别结果确定单元630,用于执行:
确定所述第一加密套件信息与所述K-means聚类模型中每个所述聚类中心的距离是否均大于预设阈值;
当所述第一加密套件信息与每个所述聚类中心的距离均大于所述阈值时,确定所述待识别流量不来自所述恶意扫描器;
当所述第一加密套件信息与至少一个所述聚类中心的距离不大于所述阈值时,确定距离最小的聚类中心对应的恶意扫描器,确定所述待识别流量属于该恶意扫描器。
本发明实施例所提供的扫描器识别裝置可执行本发明任意实施例所提供的扫描器识别方法,具备执行方法相应的功能模块和有益效果。
实施例四
图7示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图7所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如扫描器识别方法。
在一些实施例中,扫描器识别方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM13并由处理器11执行时,可以执行上文描述的扫描器识别方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行扫描器识别方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (9)

1.一种扫描器识别方法,其特征在于,包括:
获取待识别流量的第一加密套件信息;
将所述第一加密套件信息输入预先训练的恶意扫描器识别模型中进行识别,其中,该恶意扫描器识别模型通过至少一种恶意扫描器的第二加密套件信息训练得到;
根据所述恶意扫描器识别模型确定所述待识别流量的识别结果;
所述恶意扫描器识别模型,通过如下方式训练:
获取至少一种恶意扫描器的至少一种所述第二加密套件信息,建立恶意扫描器样本库;
获取至少一种恶意流量,提取至少一种所述恶意流量对应的第三加密套件信息;
根据所述第三加密套件信息生成恶意流量样本库;
根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
2.根据权利要求1所述的方法,其特征在于,所述根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练,包括:
从所述恶意扫描器样本库中随机选择一个目标恶意扫描器;
根据所述目标恶意扫描器的目标加密套件信息确定K-means初始聚类中心;
计算其他恶意扫描器的第二加密套件信息与已有聚类中心的距离;
根据所述其他恶意扫描器的第二加密套件信息与已有聚类中心的距离确定下一聚类中心;
重复上一步骤,直至所述聚类中心的数量达到预设值,得到K-means聚类模型;
根据所述K-means聚类模型和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
3.根据权利要求2所述的方法,其特征在于,所述根据所述K-means聚类模型和所述恶意流量样本库对所述恶意扫描器识别模型进行训练,包括:
将所述恶意流量样本库中至少一种所述恶意流量对应的第三加密套件信息输入所述K-means聚类模型;
确定所述K-means聚类模型的目标训练子参数,其中,每种所述第三加密套件信息中包括至少一种训练子参数;
将所述第三加密套件信息输入所述K-means聚类模型;
所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果;
根据每种第三加密套件信息实际对应的恶意扫描器对所述K-means聚类模型的所述识别结果进行验证,直到所述K-means聚类模型收敛。
4.根据权利要求3所述的方法,其特征在于,进一步包括:
设置每种所述目标训练子参数的权重;
所述K-means聚类模型根据所述权重调整每个所述聚类中心的位置;
所述K-means聚类模型根据所述目标训练子参数与所述聚类中心的距离将每种所述第三加密套件信息对应的恶意扫描器作为识别结果。
5.根据权利要求3所述的方法,其特征在于,进一步包括:
对所述K-means聚类模型的所述识别结果进行异常结果分析;
当所述识别结果异常时,删除该识别结果。
6.根据权利要求2所述的方法,其特征在于,所述根据所述恶意扫描器识别模型确定所述待识别流量的识别结果,包括:
确定所述第一加密套件信息与所述K-means聚类模型中每个所述聚类中心的距离是否均大于预设阈值;
当所述第一加密套件信息与每个所述聚类中心的距离均大于所述阈值时,确定所述待识别流量不来自所述恶意扫描器;
当所述第一加密套件信息与至少一个所述聚类中心的距离不大于所述阈值时,确定距离最小的聚类中心对应的恶意扫描器,确定所述待识别流量属于该恶意扫描器。
7.一种扫描器识别装置,其特征在于,包括:
加密套件信息获取单元,用于获取待识别流量的第一加密套件信息;
加密套件信息输入单元,用于将所述第一加密套件信息输入预先训练的恶意扫描器识别模型中进行识别,其中,该恶意扫描器识别模型通过至少一种恶意扫描器的第二加密套件信息训练得到;
识别结果确定单元,用于根据所述恶意扫描器识别模型确定所述待识别流量的识别结果;
该装置还包括:恶意扫描器识别模型训练单元;
所述恶意扫描器识别模型训练单元,用于通过如下方式训练所述恶意扫描器识别模型:
获取至少一种恶意扫描器的至少一种所述第二加密套件信息,建立恶意扫描器样本库;
获取至少一种恶意流量,提取至少一种所述恶意流量对应的第三加密套件信息;
根据所述第三加密套件信息生成恶意流量样本库;
根据所述恶意扫描器样本库和所述恶意流量样本库对所述恶意扫描器识别模型进行训练。
8.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-6中任一项所述的扫描器识别方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-6中任一项所述的扫描器识别方法。
CN202210653025.6A 2022-06-09 2022-06-09 一种用于信息安全的扫描器识别方法、装置、设备及介质 Active CN115102728B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210653025.6A CN115102728B (zh) 2022-06-09 2022-06-09 一种用于信息安全的扫描器识别方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210653025.6A CN115102728B (zh) 2022-06-09 2022-06-09 一种用于信息安全的扫描器识别方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN115102728A CN115102728A (zh) 2022-09-23
CN115102728B true CN115102728B (zh) 2024-02-20

Family

ID=83290128

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210653025.6A Active CN115102728B (zh) 2022-06-09 2022-06-09 一种用于信息安全的扫描器识别方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN115102728B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109379377A (zh) * 2018-11-30 2019-02-22 极客信安(北京)科技有限公司 加密恶意流量检测方法、装置、电子设备及存储介质
CN111031071A (zh) * 2019-12-30 2020-04-17 杭州迪普科技股份有限公司 恶意流量的识别方法、装置、计算机设备及存储介质
CN111652284A (zh) * 2020-05-09 2020-09-11 杭州数梦工场科技有限公司 扫描器识别方法及装置、电子设备、存储介质
CN113194091A (zh) * 2021-04-28 2021-07-30 顶象科技有限公司 恶意流量入侵检测系统和硬件平台
CN113676475A (zh) * 2021-08-19 2021-11-19 中电积至(海南)信息技术有限公司 一种基于XGBoost的端口扫描恶意流量的检测方法
CN113705619A (zh) * 2021-08-03 2021-11-26 广州大学 一种恶意流量检测方法、系统、计算机及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109379377A (zh) * 2018-11-30 2019-02-22 极客信安(北京)科技有限公司 加密恶意流量检测方法、装置、电子设备及存储介质
CN111031071A (zh) * 2019-12-30 2020-04-17 杭州迪普科技股份有限公司 恶意流量的识别方法、装置、计算机设备及存储介质
CN111652284A (zh) * 2020-05-09 2020-09-11 杭州数梦工场科技有限公司 扫描器识别方法及装置、电子设备、存储介质
CN113194091A (zh) * 2021-04-28 2021-07-30 顶象科技有限公司 恶意流量入侵检测系统和硬件平台
CN113705619A (zh) * 2021-08-03 2021-11-26 广州大学 一种恶意流量检测方法、系统、计算机及介质
CN113676475A (zh) * 2021-08-19 2021-11-19 中电积至(海南)信息技术有限公司 一种基于XGBoost的端口扫描恶意流量的检测方法

Also Published As

Publication number Publication date
CN115102728A (zh) 2022-09-23

Similar Documents

Publication Publication Date Title
CN112003870B (zh) 一种基于深度学习的网络加密流量识别方法及装置
CN108471429B (zh) 一种网络攻击告警方法及系统
EP3251043B1 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN108833186B (zh) 一种网络攻击预测方法及装置
CN111447204B (zh) 一种弱密码检测方法、装置、设备、介质
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
CN111049858A (zh) 一种基于交叉验证的基线扫描漏洞去重方法、装置及设备
Bayazit et al. Neural network based Android malware detection with different IP coding methods
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN117609992A (zh) 一种数据泄密检测方法、装置及存储介质
CN115589339B (zh) 网络攻击类型识别方法、装置、设备以及存储介质
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN115102728B (zh) 一种用于信息安全的扫描器识别方法、装置、设备及介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN115296917A (zh) 资产暴露面信息获取方法、装置、设备以及存储介质
US20210390519A1 (en) Storage medium, detection method, and detection device
CN113553370A (zh) 异常检测方法、装置、电子设备及可读存储介质
CN114513369B (zh) 基于深度报文检测的物联网行为分析方法及系统
CN113596051B (zh) 检测方法、检测装置、电子设备、介质和计算机程序
CN115378746B (zh) 网络入侵检测规则生成方法、装置、设备以及存储介质
US20240348623A1 (en) Unauthorized Activity Detection Based on User Agent String
CN117714193A (zh) 一种诊断方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant