WO2014032600A1 - 一种判定自动扫描行为的方法及装置 - Google Patents

Abstract

本发明公开了一种判定自动扫描行为的方法及装置，该方法包括：在设定周期内，釆集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息；将设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，确定选定发送端的请求可信值；统计釆集的访问响应消息中成功响应消息的个数和失败响应消息的个数，确定选定发送端的响应可信值；根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在设定周期内选定发送端的综合评估值；将综合评估值与第一设定阈值进行比较，判定选定发送端是否发生了自动扫描行为。该方案相对于现有技术适用性和准确性更高。

Description

一种判定自动扫描行为的方法及装置 本申请要求在 2012年 08月 29日提交中国专利局、 申请号为 201210313458.3、发明名称为

"一种判定自动扫描行为的方法及装置 "的中国专利申请的优先权，其全部内容通过引用结合在 本申请中。 技术领域

本发明涉及网络安全技术领域， 尤指一种判定自动扫描行为的方法及装 置。 背景技术

随着互联网技术的发展， 网站的信息量呈现出爆炸性增长趋势， 基于网 站产生自动扫描行为的工具也越来越多， 如搜索引擎、 下载工具、 扫描器等 等， 这些工具的自动扫描行为并不是用户产生的， 而是工具自身为了对网站 信息进行分析而自动产生的， 这些工具的自动扫描行为会占用很多网络资源， 从而影响用户正常的访问。 因此， 判定这些自动扫描行为， 并进行阻断是非 常必要的。

现有的判定自动扫描行为的方法主要有以下两种： 第一种是根据产生自 动扫描行为的工具的特征信息， 建立判定自动扫描行为的特征信息库， 在接 收到访问请求后， 将访问请求中的特征信息与特征信息库中的特征信息进行 匹配， 来判定是否有自动扫描行为， 这种方法适用性很差， 只能判定已知特 征信息的工具的自动扫描行为， 对于未知的特征信息则无能为力； 第二种是 根据网络安全设备的告警频率判定， 当高于某一告警频率， 判定为自动扫描 行为， 这种判定方法过于简单， 准确性较差。

综上所述， 现有的判定自动扫描行为的方法， 适用性和准确性较差。 发明内容

本发明实施例提供一种判定自动扫描行为的方法及装置， 用以解决现有 的判定自动扫描行为的方法， 适用性和准确性较差的问题。

一种判定自动扫描行为的方法， 包括：

在设定周期内， 釆集选定发送端向选定网站服务器发送的访问请求消息 和所述选定网站服务器向所述选定发送端返回的访问响应消息；

将所述设定周期等分为至少两个设定子周期， 依次统计每个设定子周期 内访问请求消息的个数， 根据统计的每个设定子周期内访问请求消息的个数， 确定所述选定发送端的请求可信值； 以及

统计釆集的访问响应消息中成功响应消息的个数和失败响应消息的个 数， 根据统计的成功响应消息的个数和失败响应消息的个数， 确定所述选定 发送端的响应可信值；

获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二 权重， 根据确定的请求可信值、 响应可信值、 第一权重和第二权重， 计算在 所述设定周期内所述选定发送端的综合评估值；

将所述综合评估值与第一设定阈值进行比较， 判定所述选定发送端是否 发生了自动扫描行为。

一种判定自动扫描行为的装置， 包括：

消息釆集单元， 用于在设定周期内， 釆集选定发送端向选定网站服务器 发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响 应消息；

可信值确定单元， 用于将所述设定周期等分为至少两个设定子周期， 依 次统计每个设定子周期内访问请求消息的个数， 根据统计的每个设定子周期 内访问请求消息的个数， 确定所述选定发送端的请求可信值； 以及统计釆集 的访问响应消息中成功响应消息的个数和失败响应消息的个数， 根据统计的 成功响应消息的个数和失败响应消息的个数， 确定所述选定发送端的响应可 信值；

评估值确定单元， 用于获取与所述请求可信值对应的第一权重和与所述 响应可信值对应的第二权重， 根据确定的请求可信值、 响应可信值、 第一权 重和第二权重 , 计算在所述设定周期内所述选定发送端的综合评估值； 判定单元， 用于将所述综合评估值与第一设定阔值进行比较， 判定所述 选定发送端是否发生了自动扫描行为。

本发明有益效果如下：

本发明实施例提供的判定自动扫描行为的方法及装置， 通过在设定周期 内， 釆集选定发送端向选定网站服务器发送的访问请求消息和所述选定网站 服务器向所述选定发送端返回的访问响应消息； 将所述设定周期等分为至少 两个设定子周期， 依次统计每个设定子周期内访问请求消息的个数， 根据统 计的每个设定子周期内访问请求消息的个数， 确定所述选定发送端的请求可 信值； 以及统计釆集的访问响应消息中成功响应消息的个数和失败响应消息 的个数， 根据统计的成功响应消息的个数和失败响应消息的个数， 确定所述 选定发送端的响应可信值； 获取与所述请求可信值对应的第一权重和与所述 响应可信值对应的第二权重， 根据确定的请求可信值、 响应可信值、 第一权 重和第二权重， 计算在所述设定周期内所述选定发送端的综合评估值； 将所 述综合评估值与第一设定阔值进行比较， 判定所述选定发送端是否发生了自 动扫描行为。 该方案依赖于釆集的选定发送端发送的访问请求消息和网站服 务器返回的访问响应消息来一步一步确定出选定发送端的综合评估值， 然后 根据综合评估值与第一设定阔值的比较结果， 来判定选定发送端是否发生了 自动扫描行为， 该方案针对每个选定发送端都可以釆集访问请求消息和访问 响应消息进行判定， 相比现有技术依赖于与已知的数据库信息匹配的结果进 行判定， 适应性更高； 该方案需要根据釆集的访问请求消息确定选定发送端 的请求可信值， 以及根据釆集的响应消息确定选定发送端的响应可信值， 然 后根据请求可信值和响应可信值确定出选定发送端的综合评估值， 由于综合 考虑了选定发送端的请求可信值和响应可信值， 相对于现有技术仅仅依赖与 网络安全设备的告警频率来判定， 准确性更高。 附图说明

图 1为本发明实施例中判定自动扫描行为的方法的流程图；

图 2为本发明实施例中确定选定发送端的请求可信值的方法流程图； 图 3为本发明实施例中判定自动扫描行为的装置的结构示意图。 具体实施方式

针对现有的判定自动扫描行为的方法， 适用性和准确性较差的问题， 本 发明实施例提供的判定自动扫描行为的方法， 该方法的流程如图 1 所示， 执 行步骤如下：

S10: 在设定周期内， 釆集选定发送端向选定网站服务器发送的访问请求 消息和选定网站服务器向选定发送端返回的访问响应消息。

可以依据实际需要选定一段时间作为设定周期， 现在有很多网站服务器， 可以选定一个或多个网站服务器作为选定网站服务器， 针对某个选定网站服 务器， 又会有很多发送端来访问， 可以选取全部或部分发送端作为选定发送 端。

针对某个选定发送端， 在设定周期内， 可以釆集其向选定网站服务器发 送的访问请求消息和选定网站返回的访问响应消息， 也就是釆集选定服务器 接收到的携带选定发送端的互联网协议 ( Internet Protocol, IP )地址作为源 IP 地址的访问请求消息， 和选定服务器发送的携带选定发送端的 IP地址作为目 的 IP地址的访问响应消息。

S11 : 将设定周期等分为至少两个设定子周期， 依次统计每个设定子周期 内访问请求消息的个数， 根据统计的每个设定子周期内访问请求消息的个数， 确定选定发送端的请求可信值。

将设定周期等分为至少两个设定子周期，若设定周期为 T,设定子周期为 t, 那么 T=nt, 其中 n为设定子周期的个数。 若统计到的第一个设定子周期^ 内釆集的访问请求消息的个数为 _yi , 第二个设定子周期 t₂内釆集的访问请求 消息的个数为 y₂, ... ...，第 n个定子周期 t_n内釆集的访问请求消息的个数为 y_n, 可以根据 _yi、 y₂ y_n确定选定发送端的请求可信值。

S12: 统计釆集的访问响应消息中成功响应消息的个数和失败响应消息的 个数， 根据统计的成功响应消息的个数和失败响应消息的个数， 确定选定发 送端的响应可信值。

选定网站服务器对于选定发送端的访问请求消息的访问响应消息可以分 为两类， 一类是成功响应消息， 一类是失败响应消息， 可以根据统计的成功 响应消息的个数和失败响应消息的个数， 确定选定发送端的响应可信值。

S12与 S11没有先后顺序， 可先执行 S11再执行 S12, 也可以先执行 S12 再执行 S11 , 当然也可以同时执行 S11和 S12。

S13 : 获取与请求可信值对应的第一权重和与响应可信值对应的第二权 重， 根据确定的请求可信值、 响应可信值、 第一权重和第二权重， 计算在设 定周期内选定发送端的综合评估值。

第一权重和第二权重可以根据实际的需要设定。

S14: 将综合评估值与第一设定阔值进行比较， 判定选定发送端是否发生 了自动扫描行为。

该方案依赖于釆集的选定发送端发送的访问请求消息和网站服务器返回 的访问响应消息来一步一步确定出选定发送端的综合评估值， 然后根据综合 评估值与第一设定阔值的比较结果， 来判定选定发送端是否发生了自动扫描 行为， 该方案针对每个选定发送端都可以釆集访问请求消息和访问响应消息 进行判定， 相比现有技术依赖于与已知的数据库信息匹配的结果进行判定， 适应性更高； 该方案需要根据釆集的访问请求消息确定选定发送端的请求可 信值， 以及根据釆集的响应消息确定选定发送端的响应可信值， 然后根据请 求可信值和响应可信值确定出选定发送端的综合评估值， 由于综合考虑了选 定发送端的请求可信值和响应可信值， 相对于现有技术仅仅依赖与网络安全 设备的告警频率来判定， 准确性更高。

具体的， 上述 S11 中的根据统计的每个设定子周期内访问请求消息的个 数， 确定选定发送端的请求可信值， 如图 2所示， 具体包括：

S111 : 记录统计的每个设定子周期内访问请求消息的个数， 得到统计数 据序列。

记录统计的每个设定子周期内的访问请求消息的个数， 那么得到的统计 数据序列 Yf i y , y₂, ... ... , y_n ), 其中， n表示设定子周期的个数， 也就是 统计数据序列 中元素的个数。

S112: 获取统计数据序列中最大值， 判断获取的最大值是否不小于第二 设定阔值， 若是， 执行 S113; 否则， 执行 S114。

S113: 将获取的最大值与第二设定阔值的比值作为请求可信值。

假设第二设定阔值为 Y_max, 皿为 中最大值，若 Ymax大于 Ymax,将 Ymax 与 Y_max的比值作为请求可信值 Q。

S114: 计算统计数据序列的误差比， 判断误差比是否小于第三设定阔值， 若是， 执行 S115; 否则， 执行 S116。

若 Ymax不小于 Ymax, 需要继续计算统计数据序列 的误差比！^ 其中，

K越大， 说明统计数据序列中的数据越离散， 比较符合人发起访问请求消息 的情况； K越小， 说明统计数据序列中的数据越集中， 比较符合选定发送端 存在自动扫描行为的情况。

S115: 将误差比作为请求可信值。

若误差比 K小于第三设定阔值， 那么误差比 K为请求可信值 Q 。

S116: 分别计算统计数据序列中前第一设定个数元素的第一斜率和后第 二设定个数元素的第二斜率； 将第一斜率的绝对值和第二斜率的绝对值的平 均值作为请求可信值。

若误差比 K不小于第三设定阔值， 也就是说统计数据序列中的数据非常 离散， 无法确定出请求可信值 Q, 那么在统计数据序列中选定前第一设定个 数元素的第一斜率和后第二设定个数元素的第二斜率， 假设可以选取统计数 据序列 Yi中的前 5个元素和后 5个元素， 就可以计算前 5个元素的斜率 和后 5个元素的斜率 k₂,将 和 k₂的绝对值的平均值 tJty作为请求可信值

2

Q。

具体的， 上述 S114中的计算统计数据序列的误差比， 具体包括： 计算统 计数据序列的标准差和平均值； 将统计数据序列的标准差与平均值的比值作 为统计数据序列的误差比。

具体的， 上述计算统计数据序列的标准差和平均值， 具体包括： 通过下 述公式计算统计数据序列 X的标准差 σ: ； 通过下述公式计算

n-l

统计数据序列 χ的平均值 y: =^^; 其中， _yi表示统计数据序列 X中的第

n

i个元素， i=0, l,...n-l, n表示统计数据序列 χ中元素的总个数。

具体的， 上述 S116中的计算统计数据序列中前第一设定个数元素的第一 斜率和后第二设定个数元素的第二斜率， 具体包括： 通过下述公式计算统计 数据序列 前第一设定个数元素的第一斜率 k_{1 :} k_{1 =} 通过下

述公式计算统计数据序列 X后第二设定个数元素的第二斜率 k₂ : n i.y i

k₂=^¾ ~~ "ⁿ-^¾ _n"ⁿ-"² ； 其中, _yi表示统计数据序列 χ中的第 i个元素； i=0: n∑i²- (∑i)² Ι,.-ηι, n-n₂, ...n; 为第一设定个数， n₂为第二设定个数， n为统计数 据序列 X中元素的总个数。

具体的， 上述 S11 中的根据统计的成功响应消息的个数和失败响应消息 的个数， 确定选定发送端的响应可信值， 具体包括： 将成功响应消息的个数 与釆集的访问响应消息的总个数相比得到第一比值， 将第一比值作为响应可 信值； 或者， 将失败响应消息的个数与釆集的访问响应消息的总个数相比得 到第二比值， 获取 1与第二比值的差值， 作为响应可信值。

若统计设定周期中成功响应消息的个数 和失败响应消息的个数 s₂, 可 以将 作为响应可信值 A; 也可以将 1 - 作为响应可信值 A。

Si +S₂ S! +S₂

具体的， 上述 S12 中的根据确定的请求可信值、 响应可信值、 第一权重 和第二权重， 计算在设定周期内选定发送端的综合评估值， 具体包括： 将第 一权重与请求可信值相乘得到第一乘积， 以及将第二权重与响应可信值相乘 得到第二乘积； 将第一乘积与第二乘积的和值作为综合评估值。

第一权重和第二权重可以根据实际的需要设定。 假设第一权重设为 "1 , 第二权重设为《² , 那么综合评估值为 Q+ A。

具体的， 上述 S13 中的将综合评估值与第一设定阔值进行比较， 判定选 定发送端是否发生了自动扫描行为， 具体包括： 若综合评估值大于第一设定 阔值， 判定选定发送端发生自动扫描行为； 若综合评估值不大于第一设定阔 值， 判定选定发送端未发生自动扫描行为。

可以根据综合评估值为 i¾Q+«₂A与第一设定阔值的大小来判定选定终端 是否发生了自动扫描行为。

针对综合评估值为 i¾Q+«₂A , 还有两种特殊情况， 第一种： 当第一权重" 1 为 0 时， 响应可信值作为综合评估值， 也就是仅仅根据响应可信值来判定选 定发送端发生了自动扫描行为； 第二种： 当第二权重" 2为 0时， 请求可信值 作为综合评估值， 也就是仅仅根据请求可信值来判定选定发送端发生了自定 扫描行为。

基于同一发明构思， 本发明实施例提供一种判定自动扫描行为的装置， 该装置的结构如图 3所示， 包括：

消息釆集单元 30, 用于在设定周期内， 釆集选定发送端向选定网站服务 器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消 息。 可信值确定单元 31 , 用于将设定周期等分为至少两个设定子周期， 依次 统计每个设定子周期内访问请求消息的个数， 根据统计的每个设定子周期内 访问请求消息的个数， 确定选定发送端的请求可信值； 以及统计釆集的访问 响应消息中成功响应消息的个数和失败响应消息的个数， 居统计的成功响 应消息的个数和失败响应消息的个数， 确定选定发送端的响应可信值。

评估值确定单元 32 , 用于获取与请求可信值对应的第一权重和与响应可 信值对应的第二权重， 根据确定的请求可信值、 响应可信值、 第一权重和第 二权重， 计算在设定周期内选定发送端的综合评估值。

判定单元 33 , 用于将综合评估值与第一设定阔值进行比较， 判定选定发 送端是否发生了自动扫描行为。

具体的， 上述可信值确定单元 31 , 具体用于： 记录统计的每个设定子周 期内访问请求消息的个数， 得到统计数据序列； 获取统计数据序列中最大值， 并将获取的最大值与第二设定阔值进行比较； 若获取的最大值不小于第二设 定阔值， 将获取的最大值与第二设定阔值的比值作为请求可信值； 若获取的 最大值小于第二设定阔值， 计算统计数据序列的误差比， 若误差比小于第三 设定阔值， 将误差比作为请求可信值。

具体的， 上述可信值确定单元 31 , 具体用于： 计算统计数据序列的标准 差和平均值； 将统计数据序列的标准差与平均值的比值作为统计数据序列的 误差比。

具体的， 上述可信值确定单元 31 , 具体用于： 通过下述公式计算统计数 据序列 的标准差 σ : ； 通过下述公式计算统计数据序列 y的

n-l

平均值 : y =^^ ; 其中， _yi表示统计数据序列 χ中的第 i个元素， i=0 , 1 , ...

n

n-l , n表示统计数据序列 χ中元素的总个数。

具体的， 若误差比不小于第三设定阔值， 上述可信值确定单元 31 , 还用 于： 分别计算统计数据序列中前第一设定个数元素的第一斜率和后第二设定 个数元素的第二斜率； 将第一斜率的绝对值和第二斜率的绝对值的平均值作 为请求可信值。

具体的， 上述可信值确定单元 31 , 具体用于： 通过下述公式计算统计数 据序列 X前第一设定个数元素的第一斜率 k_{1 :} k_{1 =} 通过下述

公式计算统计数据序列 X 后第二设定个数元素的第二斜率 k₂： n i.y i

k₂ =^¾ ~~ "ⁿ-^¾ _n"ⁿ-"² ； 其中, _yi表示统计数据序列 χ中的第 i个元素； i=0, n∑i²- (∑i)²

i=n-n₂ i=n-n₂

Ι, .-ηι , ..· , n-n₂, ...n; 为第一设定个数， n₂为第二设定个数， n为统计数 据序列 X中元素的总个数。

具体的， 上述可信值确定单元 31 , 具体用于： 将成功响应消息的个数与 釆集的访问响应消息的总个数相比得到第一比值， 将第一比值作为响应可信 值； 或者， 将失败响应消息的个数与釆集的访问响应消息的总个数相比得到 第二比值， 获取 1与第二比值的差值， 作为响应可信值。

具体的， 上述， 评估值确定单元 32, 具体用于： 将第一权重与请求可信 值相乘得到第一乘积， 以及将第二权重与响应可信值相乘得到第二乘积； 将 第一乘积与第二乘积的和值作为综合评估值。

具体的， 上述综判定单元 33 , 具体用于： 若综合评估值大于第一设定阔 值， 判定选定发送端发生自动扫描行为； 若综合评估值不大于第一设定阔值， 判定选定发送端未发生自动扫描行为。 发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。

Claims

权 利 要 求

1、 一种判定自动扫描行为的方法， 其特征在于， 包括：

在设定周期内， 釆集选定发送端向选定网站服务器发送的访问请求消息 和所述选定网站服务器向所述选定发送端返回的访问响应消息；

将所述设定周期等分为至少两个设定子周期， 依次统计每个设定子周期 内访问请求消息的个数， 根据统计的每个设定子周期内访问请求消息的个数， 确定所述选定发送端的请求可信值； 以及

统计釆集的访问响应消息中成功响应消息的个数和失败响应消息的个 数， 根据统计的成功响应消息的个数和失败响应消息的个数， 确定所述选定 发送端的响应可信值；

获取与所述请求可信值对应的第一权重和与所述响应可信值对应的第二 权重， 根据确定的请求可信值、 响应可信值、 第一权重和第二权重， 计算在 所述设定周期内所述选定发送端的综合评估值；

将所述综合评估值与第一设定阈值进行比较， 判定所述选定发送端是否 发生了自动扫描行为。

2、 如权利要求 1所述的方法， 其特征在于， 根据统计的每个设定子周期 内访问请求消息的个数， 确定所述选定发送端的请求可信值， 具体包括： 记录统计的每个设定子周期内访问请求消息的个数， 得到统计数据序列； 获取所述统数据计序列中最大值， 并将获取的最大值与第二设定阈值进 行比较；

若获取的最大值不小于所述第二设定阔值， 将获取的最大值与所述第二 设定阔值的比值作为所述请求可信值；

若获取的最大值小于所述第二设定阔值， 计算所述统计数据序列的误差 比， 若所述误差比小于第三设定阔值， 将所述误差比作为所述请求可信值。

3、 如权利要求 2所述的方法， 其特征在于， 计算所述统计数据序列的误 差比， 具体包括： 计算所述统计数据序列的标准差和平均值；

将所述统计数据序列的标准差与平均值的比值作为所述统计数据序列的 误差比。

4、 如权利要求 3所述的方法， 其特征在于， 计算所述统计数据序列的标 准差和平均值， 具体包括：

通过下述公式计算所述统计数据序列 的标准差 σ :

n-l

∑(yry)²

σ =

n-l

通过下述公式计算所述统计数据序列 的平均值

其中， _yi表示统计数据序列 X中的第 i个元素， i=0, l,...n-l , n表示统 计数据序列 X中元素的总个数。

5、 如权利要求 2所述的方法， 其特征在于， 若所述误差比不小于第三设 定阔值， 还包括：

分别计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二 设定个数元素的第二斜率；

将所述第一斜率的绝对值和所述第二斜率的绝对值的平均值作为所述请 求可信值。

6、 如权利要求 5所述的方法， 其特征在于， 计算所述统计数据序列中前 第一设定个数元素的第一斜率和后第二设定个数元素的第二斜率， 具体包括: 通过下述公式计算所述统计数据序列 X前第一设定个数元素的第一斜率 k_{1 :}

ηι ^ηι ^ηι

k ― i=0 i=0 i=0

1 — n!

n∑i²- (∑i )²

i=0 i=0 通过下述公式计算所述统计数据序列 X后第二设定个数元素的第二斜率 k₂ : k i=n-n i=n-n i=n-n

n∑i²- (∑i>²

i=n-n₂ i=n-n₂

其中， _yi表示统计数据序列 X中的第 i个元素； i=0, Ι, . - ηι , ... , η-η₂ , ... η; _ηι为第一设定个数， η₂为第二设定个数， η为统计数据序列 中元素的总 个数。

7、 如权利要求 1所述的方法， 其特征在于， 根据统计的成功响应消息的 个数和失败响应消息的个数， 确定所述选定发送端的响应可信值， 具体包括： 将成功响应消息的个数与釆集的访问响应消息的总个数相比得到第一比 值， 将所述第一比值作为所述响应可信值； 或者

将失败响应消息的个数与釆集的访问响应消息的总个数相比得到第二比 值， 获取 1与所述第二比值的差值， 作为所述响应可信值。

8、 如权利要求 1所述的方法， 其特征在于， 根据确定的请求可信值、 响 应可信值、 第一权重和第二权重， 计算在所述设定周期内所述选定发送端的 综合评估值， 具体包括：

将所述第一权重与所述请求可信值相乘得到第一乘积， 以及将所述第二 权重与所述响应可信值相乘得到第二乘积；

将所述第一乘积与所述第二乘积的和值作为所述综合评估值。

9、 如权利要求 1所述的方法， 其特征在于， 将所述综合评估值与第一设 定阔值进行比较， 判定所述选定发送端是否发生了自动扫描行为， 具体包括： 若所述综合评估值大于所述第一设定阔值， 判定所述选定发送端发生自 动扫描行为；

若所述综合评估值不大于所述第一设定阈值， 判定所述选定发送端未发 生自动扫描行为。

10、 一种判定自动扫描行为的装置， 其特征在于， 包括：

消息釆集单元， 用于在设定周期内， 釆集选定发送端向选定网站服务器 发送的访问请求消息和所述选定网站服务器向所述选定发送端返回的访问响 应消息；

可信值确定单元， 用于将所述设定周期等分为至少两个设定子周期， 依 次统计每个设定子周期内访问请求消息的个数， 根据统计的每个设定子周期 内访问请求消息的个数， 确定所述选定发送端的请求可信值； 以及统计釆集 的访问响应消息中成功响应消息的个数和失败响应消息的个数， 根据统计的 成功响应消息的个数和失败响应消息的个数， 确定所述选定发送端的响应可 信值；

评估值确定单元， 用于获取与所述请求可信值对应的第一权重和与所述 响应可信值对应的第二权重， 根据确定的请求可信值、 响应可信值、 第一权 重和第二权重 , 计算在所述设定周期内所述选定发送端的综合评估值；

判定单元， 用于将所述综合评估值与第一设定阔值进行比较， 判定所述 选定发送端是否发生了自动扫描行为。

11、 如权利要求 10所述的装置， 其特征在于， 所述可信值确定单元， 具 体用于：

记录统计的每个设定子周期内访问请求消息的个数， 得到统计数据序列； 获取所述统计数据序列中最大值， 并将获取的最大值与第二设定阈值进 行比较；

若获取的最大值不小于所述第二设定阔值， 将获取的最大值与所述第二 设定阔值的比值作为所述请求可信值；

若获取的最大值小于所述第二设定阔值， 计算所述统计数据序列的误差 比， 若所述误差比小于第三设定阔值， 将所述误差比作为所述请求可信值。

12、 如权利要求 11所述的装置， 其特征在于， 所述可信值确定单元， 具 体用于：

计算所述统计数据序列的标准差和平均值； 将所述统计数据序列的标准差与平均值的比值作为所述统计数据序列的 误差比。

13、 如权利要求 12所述的装置， 其特征在于， 所述可信值确定单元， 具 体用于：

通过下述公式计算所述统计数据序列 的标准差 σ : σ = ；

通过下述公式计算所述统计数据序列 的平均值

η-1 y =

n

其中， _yi表示统计数据序列 χ中的第 i个元素， i=0, l, ...n-l , n表示统 计数据序列 X中元素的总个数。

14、 如权利要求 11所述的装置， 其特征在于， 若所述误差比不小于第三 设定阔值， 所述可信值确定单元， 还用于：

分别计算所述统计数据序列中前第一设定个数元素的第一斜率和后第二 设定个数元素的第二斜率；

将所述第一斜率的绝对值和所述第二斜率的绝对值的平均值作为所述请 求可信值。

15、 如权利要求 14所述的装置， 其特征在于， 所述可信值确定单元， 具 体用于：

通过下述公式计算所述统计数据序列 X前第一设定个数元素的第一斜率 k_{1 :}

ηι ^ηι ^ηι

k ― i=0 i=0 i=0 ·

n∑i²- (∑i )²

i=0 i=0

通过下述公式计算所述统计数据序列 X后第二设定个数元素的第二斜率 k₂ : k i=n-n i=n-n i=n-n

n∑i²- (∑i>²

i=n-n₂ i=n-n₂

其中， _yi表示统计数据序列 X中的第 i个元素； i=0, Ι, . - ηι , ... , η-η₂ , ... η; _ηι为第一设定个数， η₂为第二设定个数， η为统计数据序列 中元素的总 个数。

16、 如权利要求 10所述的装置， 其特征在于， 所述可信值确定单元， 具 体用于：

将成功响应消息的个数与釆集的访问响应消息的总个数相比得到第一比 值， 将所述第一比值作为所述响应可信值； 或者

将失败响应消息的个数与釆集的访问响应消息的总个数相比得到第二比 值， 获取 1与所述第二比值的差值， 作为所述响应可信值。

17、 如权利要求 10所述的装置， 其特征在于， 所述评估值确定单元， 具 体用于：

将所述第一权重与所述请求可信值相乘得到第一乘积， 以及将所述第二 权重与所述响应可信值相乘得到第二乘积；

将所述第一乘积与所述第二乘积的和值作为所述综合评估值。

18、 如权利要求 10所述的装置， 其特征在于， 所述综判定单元， 具体用 于：

若所述综合评估值大于所述第一设定阔值， 判定所述选定发送端发生自 动扫描行为；

若所述综合评估值不大于所述第一设定阈值， 判定所述选定发送端未发 生自动扫描行为。