CN116582371B - 扫描器的检测方法及装置、存储介质、电子设备 - Google Patents
扫描器的检测方法及装置、存储介质、电子设备 Download PDFInfo
- Publication number
- CN116582371B CN116582371B CN202310857006.XA CN202310857006A CN116582371B CN 116582371 B CN116582371 B CN 116582371B CN 202310857006 A CN202310857006 A CN 202310857006A CN 116582371 B CN116582371 B CN 116582371B
- Authority
- CN
- China
- Prior art keywords
- data item
- flow
- alternative
- data items
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 68
- 238000012216 screening Methods 0.000 claims abstract description 39
- 238000000034 method Methods 0.000 claims abstract description 36
- 230000002159 abnormal effect Effects 0.000 claims description 55
- 238000012545 processing Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 238000012038 vulnerability analysis Methods 0.000 abstract description 10
- 238000004891 communication Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络安全领域,公开了一种扫描器的检测方法及装置、存储介质和电子设备。方法包括:读取预设时长内的流量检测日志,在流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,并确定第一目标数据项中的源地址为备选源地址;读取预设时长内的域名系统请求日志,并确定域名系统请求日志中包含备选源地址的数据项为第二目标数据项;若第二目标数据项中的请求域名为空,则确定备选源地址为扫描器的网络地址。本申请的方法解决了现有漏洞扫描方法扫描器产生的日志混淆在大量杂乱的流量日志中,导致漏洞分析的复杂度以及难度较大,且效率较低的问题。
Description
技术领域
本申请涉及网络安全领域,尤其是涉及到一种扫描器的检测方法及装置、存储介质和电子设备。
背景技术
扫描器是一种自动化对网络进行漏洞扫描的工具。扫描器产生的流量记录可能混淆在大量流量日志中,很难从中辨别出由扫描器产生的流量。因此,在漏洞分析时需要在大量杂乱的流量日志中筛选出扫描器相关的日志,导致漏洞分析的复杂度以及难度较大,且效率较低。
发明内容
有鉴于此,本申请提供了一种扫描器的检测方法及装置、介质和设备,解决了现有漏洞扫描方法扫描器产生的日志混淆在大量杂乱的流量日志中,导致漏洞分析的复杂度以及难度较大,且效率较低的问题。
根据本申请的一个方面,提供了一种扫描器的检测方法,包括:
读取预设时长内的流量检测日志,在所述流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,并确定所述第一目标数据项中的源地址为备选源地址;
读取所述预设时长内的域名系统请求日志,并确定所述域名系统请求日志中包含所述备选源地址的数据项为第二目标数据项;
若所述第二目标数据项中的请求域名为空,则确定所述备选源地址为扫描器的网络地址。
可选地,所述在所述流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,包括:
在所述流量检测日志的数据项中提取多条第一备选数据项,其中,所述第一备选数据项的源地址属于预设网段;
根据所述第一备选数据项的源地址、目的地址以及流量生成时刻归并多个所述第一备选数据项得到第二备选数据项,其中,每个所述第二备选数据项至少包括以下流量特征:流量持续时间、流量出现次数、攻击类型数;
根据所述源地址归并多个所述第二备选数据项得到第三备选数据项,并在多个所述第三备选数据项中确定至少一个第一目标数据项,其中,所述第一目标数据项的所述流量持续时间小于所述预设时长,所述流量出现次数以及所述攻击类型数符合第一预设校验条件,所述源地址对应的目的地址数量符合第二预设校验条件,所述流量持续总时长符合第三预设条件。
可选地,所述在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
根据所述流量特征确定每个所述第三备选数据项的待校验字段,并利用箱型图算法处理所述待校验字段,得到所述待校验字段对应的异常边界;
将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项。
可选地,所述根据所述流量特征确定每个所述第三备选数据项的待校验字段,包括:
根据所述第三备选数据项对应的每个所述第二备选数据项的流量出现次数,确定所述第三备选数据项对应的最大流量出现次数以及最小流量出现次数,根据每个所述第二备选数据项的攻击类型数确定所述第三备选数据项对应的最大攻击类型数,并分别确定所述最大流量出现次数、所述最小流量出现次数以及所述最大攻击类型数为第一待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第一待校验字段不大于所述第一待校验字段对应的异常上界的第三备选数据项,得到所述第一目标数据项。
可选地,所述根据所述流量特征确定每个所述第三备选数据项的待校验字段,包括:
统计所述第三备选数据项中不重复的目的地址,得到所述第三备选数据项对应的目的地址数量,并确定所述目的地址数量为第二待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第二待校验字段小于所述第二待校验字段对应的异常下界的第三备选数据项,得到所述第一目标数据项。
可选地,所述根据所述流量特征确定每个所述第三备选数据项的待校验字段,包括:
剔除多个所述第二备选数据项中重复的流量开始时间,得到所述第三备选数据项对应的所述流量扫描时间集合;
对所述流量扫描时间集合中的每个元素进行差分计算,得到时间差序列,剔除所述时间差序列中的0值,并计算所述时间差序列的标准差系数,并将所述标准差系数作为第三待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第三待校验字段小于所述第三待校验字段对应的异常下界的第三备选数据项,得到所述第一目标数据项。
可选地,所述根据所述第一备选数据项的源地址、目的地址以及流量生成时刻归并多个所述第一备选数据项得到第二备选数据项,包括:
将多个所述源地址、所述目的地址以及所述流量生成时刻均相同的第一备选数据项合并成一个第二备选数据项,并对每个所述第一备选数据项的流量持续时间求和得到所述第二备选数据项的流量持续时间,对每个所述第一备选数据项的攻击名称去重计数得到所述第二备选数据项的攻击类型数,统计每个所述第二备选数据项中包含的第一备选数据项数量,得到所述第二备选数据项对应的流量出现次数。
根据本申请的另一方面,提供了一种扫描器的检测装置,所述装置包括:
流量信息筛选模块,用于读取预设时长内的流量检测日志,在所述流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,并确定所述第一目标数据项中的源地址为备选源地址;
域名信息筛选模块,用于读取所述预设时长内的域名系统请求日志,并确定所述域名系统请求日志中包含所述备选源地址的数据项为第二目标数据项;
检测模块,用于若所述第二目标数据项中的请求域名为空,则确定所述备选源地址为扫描器的网络地址。
可选地,所述流量信息筛选模块用于:
在所述流量检测日志的数据项中提取多条第一备选数据项,其中,所述第一备选数据项的源地址属于预设网段;
根据所述第一备选数据项的源地址、目的地址以及流量生成时刻归并多个所述第一备选数据项得到第二备选数据项,其中,每个所述第二备选数据项至少包括以下流量特征:流量持续时间、流量出现次数、攻击类型数;
根据所述源地址归并多个所述第二备选数据项得到第三备选数据项,并在多个所述第三备选数据项中确定至少一个第一目标数据项,其中,所述第一目标数据项的所述流量持续时间小于所述预设时长,所述流量出现次数以及所述攻击类型数符合第一预设校验条件,所述源地址对应的目的地址数量符合第二预设校验条件,所述流量持续总时长符合第三预设条件。
可选地,所述流量信息筛选模块用于:
根据所述流量特征确定每个所述第三备选数据项的待校验字段,并利用箱型图算法处理所述待校验字段,得到所述待校验字段对应的异常边界;
将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项。
可选地,所述流量信息筛选模块用于:
根据所述第三备选数据项对应的每个所述第二备选数据项的流量出现次数,确定所述第三备选数据项对应的最大流量出现次数以及最小流量出现次数,根据每个所述第二备选数据项的攻击类型数确定所述第三备选数据项对应的最大攻击类型数,并分别确定所述流量出现总次数、所述最小流量出现次数以及所述最大攻击类型数为第一待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第一待校验字段不大于所述第一待校验字段对应的异常上界的第三备选数据项,得到所述第一目标数据项。
可选地,所述流量信息筛选模块用于:
统计所述第三备选数据项中不重复的目的地址,得到所述第三备选数据项对应的目的地址数量,并确定所述目的地址数量为第二待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第二待校验字段小于所述第二待校验字段对应的异常下界的第三备选数据项,得到所述第一目标数据项。
可选地,所述流量信息筛选模块用于:
剔除多个所述第二备选数据项中重复的流量开始时间,得到所述第三备选数据项对应的所述流量扫描时间集合;
对所述流量扫描时间集合中的每个元素进行差分计算,得到时间差序列,剔除所述时间差序列中的0值,并计算所述时间差序列的标准差系数,并将所述标准差系数作为第三待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第三待校验字段小于所述第三待校验字段对应的异常下界的第三备选数据项,得到所述第一目标数据项。
可选地,所述流量信息筛选模块用于:
将多个所述源地址、所述目的地址以及所述流量生成时刻均相同的第一备选数据项合并成一个第二备选数据项,并对每个所述第一备选数据项的流量持续时间求和得到所述第二备选数据项的流量持续时间,对每个所述第一备选数据项的攻击名称去重计数得到所述第二备选数据项的攻击类型数,统计每个所述第二备选数据项中包含的第一备选数据项数量,得到所述第二备选数据项对应的流量出现次数。
根据本申请又一个方面,提供了一种存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现上述扫描器的检测方法。
根据本申请再一个方面,提供了一种电子设备,包括存储介质和处理器,所述存储介质存储有计算机程序所述处理器执行所述计算机程序时实现上述扫描器的检测方法。
借由上述技术方案,本申请根据扫描器为源时所产生的流量数据的特征,综合分析流量检测日志以及dns请求日志,最终得到符合流量特征的源地址,并认为该源地址为扫描器的网络地址。通过这样的方法实现了扫描器的检测,此后即可有针对性地分析扫描器相关的流量信息,得到网络漏洞分析结果,而无需分析包含大量无关数据的流量日志,有利于降低漏洞分析的工作量以及难度,提高分析效率。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种扫描器的检测方法的流程示意图;
图2示出了本申请实施例提供的另一种扫描器的检测方法的流程示意图;
图3示出了本申请实施例提供的一种扫描器的检测装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种扫描器的检测方法,如图1所示,该方法包括:
步骤101,读取预设时长内的流量检测日志,在流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,并确定第一目标数据项中的源地址为备选源地址。
本申请实施例提供的扫描器的检测方法,用于从大量流量数据中筛选出扫描器生成的流量数据,进而找到扫描器设备对应的地址,有针对性地分析扫描器扫描得到的日志信息,完成网络漏洞扫描分析。
基于此,在该步骤中,首先读取预设时长内产生的流量检测日志,并根据扫描器产生的流量数据的特定,在流量监测日志中提取出若干第一目标数据项,第一目标数据项中的源地址可能是扫描器对应的网络地址,因此将其作为备选源地址,在后续步骤中对其进行进一步的筛选即可得到扫描器的网络地址。
具体地,可以理解的是,以扫描器为源的流量符合以下特征:1.对某目标的流量一定是高频率的;2.对某目标的流量触发的攻击名称的类型一定是多的;3.一定存在无流量时间段;4.流量的出现应当是有周期性的;5.先出现对某页面的爬取行为,然后出现对该页面的攻击行为;6.不存在对常用域名的请求行为(或其他反应该设备被正常使用的痕迹);7.不存在对某一目标的低频率攻击;8.一定时间内目标的数量不会过少;9.出现大量攻击的时间段出现的频率不应过低,比如低于一周一次。因此,可根据这些特征在流量检测日志中筛选出符合要求的数据项作为第一目标数据项。
步骤102,读取预设时长内的域名系统请求日志,并确定域名系统请求日志中包含备选源地址的数据项为第二目标数据项。
在该步骤中,读取同样时长内的域名系统(dns)请求日志,其中,dns请求日志中包含源地址字段以及请求域名字段,若在dns请求日志中的某一个数据项中,源地址与前述步骤中的备选源地址相同,则将该数据项作为第二目标数据项。此时,每个第二目标数据项中的源地址均为备选源地址,且每个第二目标数据项均包含相应的请求域名。
步骤103,若第二目标数据项中的请求域名为空,则确定备选源地址为扫描器的网络地址。
在该步骤中,由于存在dns请求的流量数据不符合扫描器特征,因此分别分析每个第二目标数据项,并根据请求域名进行进一步的筛选。具体地,若某第二目标数据项中的请求域名为空,则确定该第二目标数据项中的备选源地址为扫描器的网络地址,也即实现了扫描器的检测。而若某第二目标数据项中的请求域名不为空,则认为该第二目标数据项中的备选源地址不是扫描器的网络地址,因此丢弃该源地址。
该实施例根据扫描器为源时所产生的流量数据的特征,综合分析流量检测日志以及dns请求日志,最终得到符合流量特征的源地址,并认为该源地址为扫描器的网络地址。通过这样的方法实现了扫描器的检测,此后即可有针对性地分析扫描器相关的流量信息,得到网络漏洞分析结果,而无需分析包含大量无关数据的流量日志,有利于降低漏洞分析的工作量以及难度,提高分析效率。
进一步地,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种扫描器的检测方法,如图2所示,该方法包括如下步骤:
步骤201,读取预设时长内的流量检测日志。
在该步骤中,读取一段时间内(总小时数为N)的流量监测日志。其中,为了减少运算量,可以仅保留确定扫描器地址所需要的字段,如源地址(src_ip)、目的地址(dst_ip)、流量生成时间(start_time)、流量结束时间(end_time)字段、攻击名称(attack_name)字段,而将其他字段删除。
步骤202,在流量检测日志的数据项中提取多条第一备选数据项,其中,第一备选数据项的源地址属于预设网段。
在该步骤中,由于在漏洞扫描过程中,扫描器通常部署在内网特定的网段,因此可在流量日志的数据项中提取出源地址属于预设网段的数据项,将其作为第一备选数据项进行后续筛选,而其他源地址的数据项则丢弃不计。
具体地,可使用IPv4StringToNum函数处理源地址,生成以整型表示的ip地址sip_num字段,并根据sip_num字段的具体数值来筛选出属于预设网段的源地址。例如,可以利用(sip_num>167772160 and sip_num<184549376) or (sip_num>3232235520 and sip_num<3232301056) or (sip_num>2886729728 and sip_num<2887778304)条件进行筛选,留下源ip位于常见内网网段内的数据项。其中,167772160对应8.0.0.0,184549376对应11.0.0.0,3232235520对应192.168.1.0,其他ip地址及其对应整型数值在此不再赘述。
可以理解的是,由于不同企业网络规划不同,因此其内网常用网段也可能存在差异。在不同的应用场景中,sip_num字段的数值可根据网络规划设定,而不限于本实施例中的具体数值。
此外,也可使用正则表达式等方法限定出预设网段的范围,进而筛选出在预设网段内的源地址,在此不做限定。
该实施例通过筛选出预设网段内的源地址所对应的数据项,而剔除其他数据项,减少了需要分析的流量数据的数量,提高了扫描器网络地址的识别效率。
步骤203,将多个源地址、目的地址以及流量生成时刻均相同的第一备选数据项合并成一个第二备选数据项,并对每个第一备选数据项的流量持续时间求和得到第二备选数据项的流量持续时间,对每个第一备选数据项的攻击名称去重计数得到第二备选数据项的攻击类型数,统计每个第二备选数据项中包含的第一备选数据项数量,得到第二备选数据项对应的流量出现次数。
在该步骤中,根据源地址、目的地址以及流量生成时刻对第一备选数据项进行归并,将这三个字段都相同的第一备选数据项合并成一个第二备选数据项。
具体地,由于流量检测日志中每个流量的生成时间过于精确,不便于合并,因此,在每个第一备选数据项中可利用toStartOfHour函数处理每个流量生成时刻start_time,得到精确到小时的时间字段hourtime,作为新的流量生成时刻。此外,在每个第一备选数据项中,还可将start_time字段与end_time字段作差取得流量持续时间字段duration。
在前述预处理后,对多个第一备选数据项进行归并,得到第二备选数据项。并将第一备选数据项中的流量持续时间duration字段求和,生成第二备选数据项对应的流量持续时间dur_sum字段;对第一备选数据项中的攻击名称attack_name字段去重计数得到攻击类型数atk_cnt字段;并使用count函数统计每一归并得到的第二备选数据项中第一备选数据项的个数,生成第二备选数据项对应的流量出现次数cnt字段,其他字段可做删除处理。此时得到的每个第二备选数据项至少包括以下流量特征:流量持续时间、流量出现次数、攻击类型数。
该实施例通过以上处理,获得包含源地址src_ip、目的地址dst_ip、第一备选数据项的流量持续时间hourtime、第二备选数据项的流量持续时间dur_sum、攻击类型数atk_cnt、流量出现次数cnt字段的数据集,表示某源地址到某目的地址在某小时内的流量持续平均时间、流量出现次数、攻击类型数。
步骤204,根据源地址归并多个第二备选数据项得到第三备选数据项。
步骤205,根据流量特征确定每个第三备选数据项的待校验字段,并利用箱型图算法处理待校验字段,得到待校验字段对应的异常边界。
步骤206,将异常边界作为阈值,并根据每个待校验字段与阈值的大小关系,在多个第三备选数据项中确定至少一个第一目标数据项,其中,第一目标数据项的流量持续时间小于预设时长,流量出现次数以及攻击类型数符合第一预设校验条件,源地址对应的目的地址数量符合第二预设校验条件,流量开始时间符合第三预设校验条件。
在步骤205-206中,根据流量持续时间、流量出现次数、攻击类型数等流量特征,筛选出符合扫描器产生的数据流量特征的第三备选数据项,作为第一目标数据项,进而针对第一目标数据项进行进一步的筛选。
具体地,由于一直存在流量记录不符合扫描器特征,可首先剔除流量持续时间等于预设时长的第三备选数据项,其中,每个第三备选数据项的流量持续时间可根据第二备选数据项的流量持续时间计算得到。然后基于以扫描器为源的流量所符合的特征,确定待校验字段以及对应的校验条件,进而分别针对每个第三备选数据项中的待校验字段进行校验,判断其是否符合以扫描器为源的流量的特征。
在具体的校验过程中,可分别利用箱型图算法处理每个待校验字段,得到待校验字段对应的异常边界,并将异常边界作为阈值,将待校验字段与阈值之间的大小关系作为对应的校验条件,将大小关系满足校验条件的第三备选数据项作为第一目标数据项。
可以理解的是,箱型图(Box plot)是一种常用的数据可视化方式,用于表示数据的分布情况,能够准确稳定地描绘出数据的离散分布情况,同时也利于数据的清洗。箱型图由五个统计量组成:最小值、下四分位数(Q1)、中位数(Q2)、上四分位数(Q3)和最大值。其中,箱体表示Q1和Q3之间的范围,箱体内部的中位线表示中位数,箱外的两条线分别连接最大值和最小值,表示上界以及下界,而箱外的点则表示异常值。具体地,Qi所在位置=i(n+1)/4,其中i=1,2,3。n表示数据序列中包含的项数。根据所在位置找到此位置上的数据,下四分位数Q1为该样本中所有数值由小到大排列后第25%的数字;中位数Q2为该样本中所有数值由小到大排列后第50%的数字;上四分位数Q3为该样本中所有数值由小到大排列后第75%的数字。四分位距IQR=Q3-Q1。上界=Q3+1.5IQR,是非异常范围内的最大值,也可以取上界=Q3+3IQR;下界=Q1-1.5IQR,是非异常范围内的最小值,也可以取下界=Q1-3IQR。通过箱型图算法可以将上界以及下界确定待校验字段对应的异常边界,直观地区分出异常值以及正常值。
此外,也可使用聚类等方法限定出正常值以及异常值的范围,得到异常边界,在此不做限定。
其中,可选地,在步骤205中,根据流量特征确定每个第三备选数据项的待校验字段,包括:
步骤205-a,根据第三备选数据项对应的每个第二备选数据项的流量出现次数,确定第三备选数据项对应的最大流量出现次数以及最小流量出现次数,根据每个第二备选数据项的攻击类型数确定第三备选数据项对应的最大攻击类型数,并分别确定最大流量出现次数、最小流量出现次数以及最大攻击类型数为第一待校验字段。
在步骤205-a中,在使用源地址src_ip字段对第二备选数据项进行归并得到第三备选数据项后,分别使用min函数、max函数处理每个第二备选数据项中的流量出现次数cnt字段,得到第三备选数据项对应的最小流量出现次数mincnt字段以及最大流量出现次数maxcnt字段。利用max函数处理每个第二备选数据项中的攻击类型数atk_cnt字段,得到第三备选数据项对应的最大攻击类型数maxacnt字段。分别将mincnt、maxcnt和maxacnt字段作为第一待校验字段,进而根据预先设定的针对每个待校验字段的校验规则,对其进行校验。
步骤205-b,统计第三备选数据项中不重复的目的地址,得到第三备选数据项对应的目的地址数量,并确定目的地址数量为第二待校验字段。
在步骤205-b中,在使用源地址src_ip字段对第二备选数据项进行归并得到第三备选数据项后,对目的地址dst_ip字段使用去重计数,得到不重复的目的地址数量,也即第三备选数据项对应的目的地址数量dip_cnt字段。将dip_cnt字段作为第二待校验字段,进而根据预先设定的针对第二待校验字段的校验规则,对其进行校验。
步骤205-c1,剔除多个第二备选数据项中重复的流量开始时间,得到第三备选数据项对应的扫描时间集合;
步骤205-c2,对扫描时间集合中的每个元素进行差分计算,得到时间差序列,剔除时间差序列中的0值,并计算时间差序列的标准差系数,并将标准差系数作为第三待校验字段。
在步骤205-c1-步骤205-c2中,在使用源地址src_ip字段对第二备选数据项进行归并得到第三备选数据项后,利用collect_set函数处理第二备选数据的流量开始时间hourtime字段,得到第三备选数据项对应的流量开始时间集合hourtimes集合。在该集合中,通过去重计数剔除掉重复的hourtime字段,得到扫描时间集合scan_hours集合,集合中每个元素表示源地址发出流量的时间。对scan_hours集合中的每个元素进行差分计算获得时间差序列hour_gaps,去除该数列中的0值,计算数列的标准差系数hour_gaps_stdc。将hour_gaps_stdc字段作为第三待校验字段,进而根据预先设定的针对第三待校验字段的校验规则,对其进行校验。
其中,步骤205-a至步骤205-c1/c2可以同时出现,也可单独出现,且执行顺序的先后可根据实际应用场景进行修改。
相应地,在步骤206中,将异常边界作为阈值,并根据每个待校验字段与阈值的大小关系,在多个第三备选数据项中确定至少一个第一目标数据项,包括:
步骤206-a,在多个第三备选数据项中,剔除第一待校验字段不大于第一待校验字段对应的异常上界的第三备选数据项,得到第一目标数据项。
在步骤206-a中,在多个第三备选数据项中,剔除mincnt字段不大于异常上界mincntU的第三备选数据项,此时剩余的第三备选数据项不存在零星流量的流量记录;剔除maxcnt字段不大于异常上界maxcntU的第三备选数据项,此时剩余的第三备选数据项不存在短时间内高频的流量记录;剔除maxacnt字段不大于异常上界maxacntU的第三备选数据项,此时剩余的第三备选数据项不存在多类型攻击的流量记录。通过这样的筛选,剩余的第三备选数据项满足第一预设校验条件。
其中,异常上界mincntU可利用所有第三备选数据项的mincnt字段,通过箱型图方法计算上四分位与1.5倍四分位距之和得到,也即利用上界=Q3+1.5IQR计算得到。此外,也可利用上界=Q3+3IQR等计算得到异常上界mincntU,还可以根据实际需求取除1.5和3以外的其他数值。异常上界maxcntU以及异常上界maxacntU的计算方法与之类似,在此不再赘述。
步骤206-b,在多个第三备选数据项中,剔除第二待校验字段小于第二待校验字段对应的异常下界的第三备选数据项,得到第一目标数据项。
在步骤206-b中,在多个第三备选数据项中,剔除dip_cnt字段小于异常下界dip_cntL的第三备选数据项,此时剩余的第三备选数据项不存在目标过少的流量记录。通过这样的筛选,剩余的第三备选数据项满足第二预设校验条件。
其中,异常下界dip_cntL可利用所有第三备选数据项的dip_cnt字段,通过箱型图方法计算下四分位与1.5倍四分位距之差得到,也即利用下界=Q1-1.5IQR计算得到。此外,也可利用下界=Q1-3IQR等计算得到异常下界dip_cntL,还可以根据实际需求取除1.5和3以外的其他数值。
步骤206-c,在多个第三备选数据项中,剔除第三待校验字段小于第三待校验字段对应的异常下界的第三备选数据项,得到第一目标数据项。
在步骤206-c中,在多个第三备选数据项中,剔除hour_gaps_stdc字段小于异常下界hour_gaps_stdcL的第三备选数据项,此时剩余的第三备选数据项不存在过于无周期性的流量记录。通过这样的筛选,剩余的第三备选数据项满足第三预设校验条件。
其中,异常下界hour_gaps_stdcL的计算方法与前述步骤206-b中dip_cntL的计算方法类似,在此不再赘述。
其中,步骤206-a至步骤206-c分别与前述步骤205-a至步骤205-c1/c2对应。
步骤207,确定第一目标数据项中的源地址为备选源地址。
步骤208,读取预设时长内的域名系统请求日志,并确定域名系统请求日志中包含备选源地址的数据项为第二目标数据项。
步骤209,若第二目标数据项中的请求域名为空,则确定备选源地址为扫描器的网络地址。
在步骤208-步骤209中,在从流量检测日志中初步筛选出符合扫描器流量特征的第一目标数据项后,综合分析dns请求日志,进一步筛选得到最终的检测结果。
在具体操作过程中,可将第一目标数据项与从dns请求日志中收集的数据以源地址src_ip字段为共同字段进行左连接left join,并在join结果中筛选出domain字段为空的数据项,筛选出的数据项中的源地址即为扫描器的网络地址。
在确定扫描器的网络地址后,可直接将该网络地址对应的第一目标数据项以及第二目标数据项中的其他字段一同输出,作为参数参考。
该实施例通过分析流量检测日志中的每一条数据,根据扫描器发出的流量数据的特征,从流量发出频率、流量持续时长、流量的周期性、目标地址数量等多个方面综合分析,在流量检测日志中筛选除符合扫描器为源的流量特征的数据,初步筛选出可能为扫描器地址的备选源地址。由于除扫描器外,也可能有其他服务器或客户端等其他设备发出的流量也满足前述流量特征,因此,在备选源地址的基础上,根据dns请求日志进一步分析备选源地址的dns请求,通过判断请求域名是否为空,剔除掉这部分满足前述流量特征的其他设备,进一步提高扫描器检测的准确度。通过这样的方法,可以在大量杂乱的流量日志中快速筛选出扫描器产生的日志,进而对其分析得到相应的漏洞分析结果,解决了现有流量日志中混杂大量无关数据所导致漏洞分析的复杂度以及难度较大,且效率较低的问题。此外,该实施例还通过删掉流量检测日志中除源地址(src_ip)、目的地址(dst_ip)、流量生成时间(start_time)、流量结束时间(end_time)字段、攻击名称(attack_name)字段外的其他字段,以及在流量日志的数据项中提取出源地址属于预设网段的数据项,而丢弃其他源地址的数据项等措施,在保证检测准确度的基础上,减少了要处理的数据量,提高了检测效率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
进一步地,作为上述扫描器的检测方法的具体实现,本申请实施例提供了一种扫描器的检测装置,如图3所示,该装置包括:流量信息筛选模块、域名信息筛选模块以及检测模块。
流量信息筛选模块,用于读取预设时长内的流量检测日志,在流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,并确定第一目标数据项中的源地址为备选源地址;
域名信息筛选模块,用于读取预设时长内的域名系统请求日志,并确定域名系统请求日志中包含备选源地址的数据项为第二目标数据项;
检测模块,用于若第二目标数据项中的请求域名为空,则确定备选源地址为扫描器的网络地址。
在具体的应用场景中,可选地,流量信息筛选模块用于:
在流量检测日志的数据项中提取多条第一备选数据项,其中,第一备选数据项的源地址属于预设网段;
根据第一备选数据项的源地址、目的地址以及流量生成时刻归并多个第一备选数据项得到第二备选数据项,其中,每个第二备选数据项至少包括以下流量特征:流量持续时间、流量出现次数、攻击类型数;
根据源地址归并多个第二备选数据项得到第三备选数据项,并在多个第三备选数据项中确定至少一个第一目标数据项,其中,第一目标数据项的流量持续时间小于预设时长,流量出现次数以及攻击类型数符合第一预设校验条件,源地址对应的目的地址数量符合第二预设校验条件,流量持续总时长符合第三预设条件。
在具体的应用场景中,可选地,流量信息筛选模块用于:
根据流量特征确定每个第三备选数据项的待校验字段,并利用箱型图算法处理待校验字段,得到待校验字段对应的异常边界;
将异常边界作为阈值,并根据每个待校验字段与阈值的大小关系,在多个第三备选数据项中确定至少一个第一目标数据项。
在具体的应用场景中,可选地,流量信息筛选模块用于:
根据第三备选数据项对应的每个第二备选数据项的流量出现次数,确定第三备选数据项对应的最大流量出现次数以及最小流量出现次数,根据每个第二备选数据项的攻击类型数确定第三备选数据项对应的最大攻击类型数,并分别确定最大流量出现次数、最小流量出现次数以及最大攻击类型数为第一待校验字段;
相应地,将异常边界作为阈值,并根据每个待校验字段与阈值的大小关系,在多个第三备选数据项中确定至少一个第一目标数据项,包括:
在多个第三备选数据项中,剔除第一待校验字段不大于第一待校验字段对应的异常上界的第三备选数据项,得到第一目标数据项。
在具体的应用场景中,可选地,流量信息筛选模块用于:
统计第三备选数据项中不重复的目的地址,得到第三备选数据项对应的目的地址数量,并确定目的地址数量为第二待校验字段;
相应地,将异常边界作为阈值,并根据每个待校验字段与阈值的大小关系,在多个第三备选数据项中确定至少一个第一目标数据项,包括:
在多个第三备选数据项中,剔除第二待校验字段小于第二待校验字段对应的异常下界的第三备选数据项,得到第一目标数据项。
在具体的应用场景中,可选地,流量信息筛选模块用于:
剔除多个第二备选数据项中重复的流量开始时间,得到第三备选数据项对应的流量扫描时间集合;
对流量扫描时间集合中的每个元素进行差分计算,得到时间差序列,剔除时间差序列中的0值,并计算时间差序列的标准差系数,并将标准差系数作为第三待校验字段;
相应地,将异常边界作为阈值,并根据每个待校验字段与阈值的大小关系,在多个第三备选数据项中确定至少一个第一目标数据项,包括:
在多个第三备选数据项中,剔除第三待校验字段小于第三待校验字段对应的异常下界的第三备选数据项,得到第一目标数据项。
在具体的应用场景中,可选地,流量信息筛选模块用于:
将多个源地址、目的地址以及流量生成时刻均相同的第一备选数据项合并成一个第二备选数据项,并对每个第一备选数据项的流量持续时间求和得到第二备选数据项的流量持续时间,对每个第一备选数据项的攻击名称去重计数得到第二备选数据项的攻击类型数,统计每个第二备选数据项中包含的第一备选数据项数量,得到第二备选数据项对应的流量出现次数。
需要说明的是,本申请实施例提供的一种扫描器的检测装置所涉及各功能模块的其他相应描述,可以参考上述方法中的对应描述,在此不再赘述。
基于上述方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述扫描器的检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1和图2所示的方法,以及图3所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种设备,具体可以为个人计算机、服务器、网络设备等,该电子设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的扫描器的检测方法。
可选地,该电子设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种电子设备结构并不构成对该电子设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存电子设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各控件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的单元或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的单元可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的单元可以合并为一个单元,也可以进一步拆分成多个子单元。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (8)
1.一种扫描器的检测方法,其特征在于,所述方法包括:
读取预设时长内的流量检测日志,在所述流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,并确定所述第一目标数据项中的源地址为备选源地址;
读取所述预设时长内的域名系统请求日志,并确定所述域名系统请求日志中包含所述备选源地址的数据项为第二目标数据项;
若所述第二目标数据项中的请求域名为空,则确定所述备选源地址为扫描器的网络地址;
其中,所述在所述流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,包括:
在所述流量检测日志的数据项中提取多条第一备选数据项,其中,所述第一备选数据项的源地址属于预设网段;
根据所述第一备选数据项的源地址、目的地址以及流量生成时刻归并多个所述第一备选数据项得到第二备选数据项,其中,每个所述第二备选数据项至少包括以下流量特征:流量持续时间、流量出现次数、攻击类型数;
根据所述源地址归并多个所述第二备选数据项得到第三备选数据项,并在多个所述第三备选数据项中确定至少一个第一目标数据项,其中,所述第一目标数据项的所述流量持续时间小于所述预设时长,所述流量出现次数以及所述攻击类型数符合第一预设校验条件,所述源地址对应的目的地址数量符合第二预设校验条件,所述流量持续总时长符合第三预设条件;
其中,所述在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
根据所述流量特征确定每个所述第三备选数据项的待校验字段,并利用箱型图算法处理所述待校验字段,得到所述待校验字段对应的异常边界;
将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项。
2.根据权利要求1所述的方法,其特征在于,所述根据所述流量特征确定每个所述第三备选数据项的待校验字段,包括:
根据所述第三备选数据项对应的每个所述第二备选数据项的流量出现次数,确定所述第三备选数据项对应的最大流量出现次数以及最小流量出现次数,根据每个所述第二备选数据项的攻击类型数确定所述第三备选数据项对应的最大攻击类型数,并分别确定所述最大流量出现次数、所述最小流量出现次数以及所述最大攻击类型数为第一待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第一待校验字段不大于所述第一待校验字段对应的异常上界的第三备选数据项,得到所述第一目标数据项。
3.根据权利要求1所述的方法,其特征在于,所述根据所述流量特征确定每个所述第三备选数据项的待校验字段,包括:
统计所述第三备选数据项中不重复的目的地址,得到所述第三备选数据项对应的目的地址数量,并确定所述目的地址数量为第二待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第二待校验字段小于所述第二待校验字段对应的异常下界的第三备选数据项,得到所述第一目标数据项。
4.根据权利要求1所述的方法,其特征在于,所述根据所述流量特征确定每个所述第三备选数据项的待校验字段,包括:
剔除多个所述第二备选数据项中重复的流量开始时间,得到所述第三备选数据项对应的流量扫描时间集合;
对所述流量扫描时间集合中的每个元素进行差分计算,得到时间差序列,剔除所述时间差序列中的0值,并计算所述时间差序列的标准差系数,并将所述标准差系数作为第三待校验字段;
相应地,所述将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项,包括:
在多个所述第三备选数据项中,剔除所述第三待校验字段小于所述第三待校验字段对应的异常下界的第三备选数据项,得到所述第一目标数据项。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第一备选数据项的源地址、目的地址以及流量生成时刻归并多个所述第一备选数据项得到第二备选数据项,包括:
将多个所述源地址、所述目的地址以及所述流量生成时刻均相同的第一备选数据项合并成一个第二备选数据项,并对每个所述第一备选数据项的流量持续时间求和得到所述第二备选数据项的流量持续时间,对每个所述第一备选数据项的攻击名称去重计数得到所述第二备选数据项的攻击类型数,统计每个所述第二备选数据项中包含的第一备选数据项数量,得到所述第二备选数据项对应的流量出现次数。
6.一种扫描器的检测装置,其特征在于,所述装置包括:
流量信息筛选模块,用于读取预设时长内的流量检测日志,在所述流量检测日志中筛选出符合扫描器产生的流量特征的数据项作为第一目标数据项,并确定所述第一目标数据项中的源地址为备选源地址;
域名信息筛选模块,用于读取所述预设时长内的域名系统请求日志,并确定所述域名系统请求日志中包含所述备选源地址的数据项为第二目标数据项;
检测模块,用于若所述第二目标数据项中的请求域名为空,则确定所述备选源地址为扫描器的网络地址;
其中,所述流量信息筛选模块具体用于,在所述流量检测日志的数据项中提取多条第一备选数据项,其中,所述第一备选数据项的源地址属于预设网段;根据所述第一备选数据项的源地址、目的地址以及流量生成时刻归并多个所述第一备选数据项得到第二备选数据项,其中,每个所述第二备选数据项至少包括以下流量特征:流量持续时间、流量出现次数、攻击类型数;根据所述源地址归并多个所述第二备选数据项得到第三备选数据项,并在多个所述第三备选数据项中确定至少一个第一目标数据项,其中,所述第一目标数据项的所述流量持续时间小于所述预设时长,所述流量出现次数以及所述攻击类型数符合第一预设校验条件,所述源地址对应的目的地址数量符合第二预设校验条件的第三数据项,所述流量持续总时长符合第三预设条件;根据所述流量特征确定每个所述第三备选数据项的待校验字段,并利用箱型图算法处理所述待校验字段,得到所述待校验字段对应的异常边界;将所述异常边界作为阈值,并根据每个所述待校验字段与所述阈值的大小关系,在多个所述第三备选数据项中确定至少一个第一目标数据项。
7.一种存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1至5中任一项所述的方法。
8.一种电子设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310857006.XA CN116582371B (zh) | 2023-07-13 | 2023-07-13 | 扫描器的检测方法及装置、存储介质、电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310857006.XA CN116582371B (zh) | 2023-07-13 | 2023-07-13 | 扫描器的检测方法及装置、存储介质、电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116582371A CN116582371A (zh) | 2023-08-11 |
CN116582371B true CN116582371B (zh) | 2023-09-22 |
Family
ID=87534602
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310857006.XA Active CN116582371B (zh) | 2023-07-13 | 2023-07-13 | 扫描器的检测方法及装置、存储介质、电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116582371B (zh) |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101395940A (zh) * | 2006-03-07 | 2009-03-25 | 高通股份有限公司 | 由无线终端进行的网络选择 |
CN101895949A (zh) * | 2010-07-15 | 2010-11-24 | 中兴通讯股份有限公司 | 一种不同网络制式间切换的方法及装置 |
CN106413041A (zh) * | 2015-07-31 | 2017-02-15 | 展讯通信(上海)有限公司 | 移动终端小区驻留方法及装置 |
CN107547490A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种扫描器识别方法、装置及系统 |
CN108141801A (zh) * | 2016-06-16 | 2018-06-08 | 华为技术有限公司 | 小区重选方法、频点信息管理方法及装置 |
CN109155899A (zh) * | 2018-01-23 | 2019-01-04 | 深圳前海达闼云端智能科技有限公司 | 无线通信网中移动终端的驻网方法和移动终端 |
CN110401973A (zh) * | 2019-08-19 | 2019-11-01 | Oppo广东移动通信有限公司 | 网络搜索方法及装置、终端、存储介质 |
CN112073426A (zh) * | 2020-09-16 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 一种云防护环境下网站扫描检测方法、系统及设备 |
CN112714480A (zh) * | 2021-01-29 | 2021-04-27 | Oppo广东移动通信有限公司 | 一种小区驻留方法、装置、终端及存储介质 |
CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
CN113225789A (zh) * | 2021-04-23 | 2021-08-06 | 芯翼信息科技(南京)有限公司 | 小区搜索方法、系统、设备及存储介质 |
WO2023287921A1 (en) * | 2021-07-13 | 2023-01-19 | The Penn State Research Foundation | Characterizing network scanners by clustering scanning profiles |
CN115834188A (zh) * | 2022-11-16 | 2023-03-21 | 平安银行股份有限公司 | 一种漏洞扫描监控方法、系统、电子设备及存储介质 |
CN116015800A (zh) * | 2022-12-15 | 2023-04-25 | 成都知道创宇信息技术有限公司 | 一种扫描器识别方法、装置、电子设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
US20110258040A1 (en) * | 2010-04-16 | 2011-10-20 | Xerox Corporation | System and method for providing feedback for targeted communications |
US11362996B2 (en) * | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
-
2023
- 2023-07-13 CN CN202310857006.XA patent/CN116582371B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101395940A (zh) * | 2006-03-07 | 2009-03-25 | 高通股份有限公司 | 由无线终端进行的网络选择 |
CN101895949A (zh) * | 2010-07-15 | 2010-11-24 | 中兴通讯股份有限公司 | 一种不同网络制式间切换的方法及装置 |
CN106413041A (zh) * | 2015-07-31 | 2017-02-15 | 展讯通信(上海)有限公司 | 移动终端小区驻留方法及装置 |
CN108141801A (zh) * | 2016-06-16 | 2018-06-08 | 华为技术有限公司 | 小区重选方法、频点信息管理方法及装置 |
CN107547490A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种扫描器识别方法、装置及系统 |
CN109155899A (zh) * | 2018-01-23 | 2019-01-04 | 深圳前海达闼云端智能科技有限公司 | 无线通信网中移动终端的驻网方法和移动终端 |
CN110401973A (zh) * | 2019-08-19 | 2019-11-01 | Oppo广东移动通信有限公司 | 网络搜索方法及装置、终端、存储介质 |
CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
CN112073426A (zh) * | 2020-09-16 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 一种云防护环境下网站扫描检测方法、系统及设备 |
CN112714480A (zh) * | 2021-01-29 | 2021-04-27 | Oppo广东移动通信有限公司 | 一种小区驻留方法、装置、终端及存储介质 |
CN113225789A (zh) * | 2021-04-23 | 2021-08-06 | 芯翼信息科技(南京)有限公司 | 小区搜索方法、系统、设备及存储介质 |
WO2023287921A1 (en) * | 2021-07-13 | 2023-01-19 | The Penn State Research Foundation | Characterizing network scanners by clustering scanning profiles |
CN115834188A (zh) * | 2022-11-16 | 2023-03-21 | 平安银行股份有限公司 | 一种漏洞扫描监控方法、系统、电子设备及存储介质 |
CN116015800A (zh) * | 2022-12-15 | 2023-04-25 | 成都知道创宇信息技术有限公司 | 一种扫描器识别方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
基于区块链技术的网络安全漏洞检测方法设计;张磊、周泓雨;《现代信息科技》;全文 * |
基于大数据融合算法的DNS日志分析系统;廖明;陈明;周冀;向小华;李芳;焦叶芬;;电信科学(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116582371A (zh) | 2023-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131320B (zh) | 资产识别方法、装置、系统和介质 | |
US20180316728A1 (en) | Method and apparatus for detecting security using an industry internet operating system | |
CN105138709B (zh) | 一种基于物理内存分析的远程取证系统 | |
CN111049858B (zh) | 一种基于交叉验证的基线扫描漏洞去重方法、装置及设备 | |
EA031992B1 (ru) | Система анализа записей | |
US10970391B2 (en) | Classification method, classification device, and classification program | |
CN107004088A (zh) | 确定装置、确定方法及确定程序 | |
CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
CN111865987A (zh) | 作弊流量处理的方法、装置、设备及存储介质 | |
CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
CN114301659A (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
US20210152573A1 (en) | Cyberattack information analysis program, cyberattack information analysis method, and information processing apparatus | |
CN116582371B (zh) | 扫描器的检测方法及装置、存储介质、电子设备 | |
CN110233848B (zh) | 一种资产态势分析方法及装置 | |
CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
CN115509851A (zh) | 页面监控方法、装置及设备 | |
JP7424395B2 (ja) | 分析システム、方法およびプログラム | |
US11133977B2 (en) | Anonymizing action implementation data obtained from incident analysis systems | |
CN110704848B (zh) | 脆弱点量化评估方法及装置 | |
CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
US20210385235A1 (en) | Security analysis assistance apparatus, security analysis assistance method, and computer-readable recording medium | |
CN115102728B (zh) | 一种用于信息安全的扫描器识别方法、装置、设备及介质 | |
CN115296917B (zh) | 资产暴露面信息获取方法、装置、设备以及存储介质 | |
JP7405162B2 (ja) | 分析システム、方法およびプログラム | |
EP3989491B1 (en) | Generation device, generation method and generation program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |