【技術(shù)實現(xiàn)步驟摘要】
本申請涉及網(wǎng)絡(luò)安全,特別是涉及一種網(wǎng)絡(luò)掃描檢測方法、裝置、計算機設(shè)備、存儲介質(zhì)和計算機程序產(chǎn)品。
技術(shù)介紹
1、隨著網(wǎng)絡(luò)攻擊手段的不斷演變,自動化掃描工具在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用日益普遍。由于這些工具的廣泛使用以及web應(yīng)用(瀏覽器應(yīng)用程序)配置的多樣性,單純依賴返回的狀態(tài)碼或基于規(guī)則集的檢測手段已難以應(yīng)對復(fù)雜的攻擊場景。同時,受ipv4(internetprotocol?version?4,互聯(lián)網(wǎng)協(xié)議第4版)地址短缺問題和nat(network?addresstranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)發(fā)展的影響,共享ip(internet?protocol,互聯(lián)網(wǎng)協(xié)議)地址、端口復(fù)用和動態(tài)分配、動態(tài)ip地址、ip欺騙技術(shù)等技術(shù)的使用越來越多,以及攻擊者可能會利用大量不同的ip來進行攻擊,這些技術(shù)使得攻擊者通過多個設(shè)備或偽造ip地址進行攻擊成為可能,進一步加大了溯源難度。攻擊者可能使用大量不同的ip地址進行分布式攻擊,使得單純依靠ip層面的溯源和定位在現(xiàn)代網(wǎng)絡(luò)環(huán)境中顯得不再有效和可靠,給網(wǎng)絡(luò)防護帶來了顯著挑戰(zhàn)。
2、傳統(tǒng)技術(shù)大多僅基于ip層面,通過單一返回狀態(tài)碼或預(yù)設(shè)的掃描檢測規(guī)則集進行分析。然而,由于業(yè)務(wù)的復(fù)雜性和多樣性,這種方法僅能有效檢測到如404、403等常規(guī)異常狀態(tài)碼的掃描,對于返回200、302、401等非異常狀態(tài)碼的掃描卻難以察覺。此外,依賴ip層面的掃描分析也無法解決nat環(huán)境下的挑戰(zhàn),如共享ip地址、端口復(fù)用、動態(tài)ip分配和ip欺騙技術(shù)等問題,使得溯源和定位攻擊者變得更加困難。這種單一的檢測方式在面對復(fù)
技術(shù)實現(xiàn)思路
1、基于此,有必要針對上述技術(shù)問題,提供一種能夠快速識別異常訪問并對異常訪問請求進行準(zhǔn)確定位、溯源的網(wǎng)絡(luò)掃描檢測方法、裝置、計算機設(shè)備、計算機可讀存儲介質(zhì)和計算機程序產(chǎn)品。
2、第一方面,本申請?zhí)峁┝艘环N網(wǎng)絡(luò)掃描檢測方法。該方法包括:
3、采集日志數(shù)據(jù)中的請求數(shù)據(jù)和加密協(xié)議;
4、基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對請求數(shù)據(jù)進行異常掃描,在命中異常掃描規(guī)則時,記錄為異常掃描記錄;異常掃描記錄包括請求數(shù)據(jù)和加密協(xié)議命中的異常檢測掃描規(guī)則;
5、根據(jù)異常掃描記錄命中的異常掃描規(guī)則的總權(quán)重和加密協(xié)議,得到異常掃描結(jié)果。
6、在其中一個實施例中,還包括構(gòu)建異常掃描檢測規(guī)則庫:
7、獲取異常掃描規(guī)則;異常掃描規(guī)則包括:返回異常狀態(tài)碼、返回狀態(tài)碼及請求地址、返回狀態(tài)碼及請求地址及返回大小;
8、對各異常掃描規(guī)則的權(quán)重進行賦值,構(gòu)建異常掃描檢測規(guī)則庫。
9、在其中一個實施例中,基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對請求數(shù)據(jù)進行異常掃描,在命中異常掃描規(guī)則時,記錄為異常掃描記錄包括:
10、對請求數(shù)據(jù)的返回結(jié)果進行掃描;
11、將異常掃描檢測規(guī)則庫中的異常掃描規(guī)則與返回結(jié)果進行比對;
12、在返回結(jié)果命中異常掃描規(guī)則的情況下,記錄為異常掃描記錄并獲取命中異常掃描規(guī)則的權(quán)重;
13、在返回結(jié)果未命中異常掃描規(guī)則的情況下,丟棄非異常掃描數(shù)據(jù)。
14、在其中一個實施例中,根據(jù)返回狀態(tài)碼、請求地址、返回大小和請求數(shù)據(jù)生成加密協(xié)議。
15、在其中一個實施例中,該方法還包括:
16、獲取預(yù)設(shè)時間窗口和預(yù)設(shè)權(quán)重閾值,構(gòu)建異常掃描判斷規(guī)則庫;預(yù)設(shè)權(quán)重閾值為預(yù)設(shè)時間窗口下異常掃描記錄的最大權(quán)重。
17、在其中一個實施例中,根據(jù)異常掃描記錄命中的異常掃描規(guī)則的總權(quán)重和加密協(xié)議,得到異常掃描結(jié)果包括:
18、根據(jù)異常掃描判斷規(guī)則庫選取預(yù)設(shè)時間窗口,對預(yù)設(shè)時間窗口下異常掃描規(guī)則的權(quán)重進行聚合,得到時間窗口下異常掃描記錄的總權(quán)重;
19、對比異常掃描記錄的總權(quán)重與預(yù)設(shè)權(quán)重閾值;
20、在異常掃描記錄的總權(quán)重大于預(yù)設(shè)權(quán)重閾值的情況下,判定異常掃描結(jié)果為異常;
21、在異常掃描記錄的總權(quán)重不大于預(yù)設(shè)權(quán)重閾值的情況下,判定異常掃描結(jié)果為正常。
22、第二方面,本申請還提供了一種網(wǎng)絡(luò)掃描檢測裝置。該裝置包括:
23、采集模塊,用于采集日志數(shù)據(jù)中的請求數(shù)據(jù)和加密協(xié)議;
24、掃描記錄模塊,用于基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對請求數(shù)據(jù)進行異常掃描,在命中異常掃描規(guī)則時,記錄為異常掃描記錄;異常掃描記錄包括請求數(shù)據(jù)和加密協(xié)議命中的異常檢測掃描規(guī)則;
25、輸出模塊,用于根據(jù)異常掃描記錄命中的異常掃描規(guī)則的總權(quán)重和加密協(xié)議,得到異常掃描結(jié)果。
26、第三方面,本申請還提供了一種計算機設(shè)備。該計算機設(shè)備包括存儲器和處理器,該存儲器存儲有計算機程序,該處理器執(zhí)行所述計算機程序時實現(xiàn)以下步驟:
27、采集日志數(shù)據(jù)中的請求數(shù)據(jù)和加密協(xié)議;
28、基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對請求數(shù)據(jù)進行異常掃描,在命中異常掃描規(guī)則時,記錄為異常掃描記錄;異常掃描記錄包括請求數(shù)據(jù)和加密協(xié)議命中的異常檢測掃描規(guī)則;
29、根據(jù)異常掃描記錄命中的異常掃描規(guī)則的總權(quán)重和加密協(xié)議,得到異常掃描結(jié)果。
30、第四方面,本申請還提供了一種計算機可讀存儲介質(zhì)。該計算機可讀存儲介質(zhì),其上存儲有計算機程序,該計算機程序被處理器執(zhí)行時實現(xiàn)以下步驟:
31、采集日志數(shù)據(jù)中的請求數(shù)據(jù)和加密協(xié)議;
32、基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對請求數(shù)據(jù)進行異常掃描,在命中異常掃描規(guī)則時,記錄為異常掃描記錄;異常掃描記錄包括請求數(shù)據(jù)和加密協(xié)議命中的異常檢測掃描規(guī)則;
33、根據(jù)異常掃描記錄命中的異常掃描規(guī)則的總權(quán)重和加密協(xié)議,得到異常掃描結(jié)果。
34、第五方面,本申請還提供了一種計算機程序產(chǎn)品。該計算機程序產(chǎn)品,包括計算機程序,該計算機程序被處理器執(zhí)行時實現(xiàn)以下步驟:
35、采集日志數(shù)據(jù)中的請求數(shù)據(jù)和加密協(xié)議;
36、基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對請求數(shù)據(jù)進行異常掃描,在命中異常掃描規(guī)則時,記錄為異常掃描記錄;異常掃描記錄包括請求數(shù)據(jù)和加密協(xié)議命中的異常檢測掃描規(guī)則;
37、根據(jù)異常掃描記錄命中的異常掃描規(guī)則的總權(quán)重和加密協(xié)議,得到異常掃描結(jié)果。
38、上述網(wǎng)絡(luò)掃描檢測方法、裝置、計算機設(shè)備、存儲介質(zhì)和計算機程序產(chǎn)品,根據(jù)異常掃描檢測規(guī)則庫中的異常掃描規(guī)則,對掃描的請求數(shù)據(jù)進行檢測,由多個規(guī)則對請求數(shù)據(jù)進行多個維度的檢測,實現(xiàn)對請求數(shù)據(jù)的全面掃描檢測,不僅能夠識別常見的異常狀態(tài)碼,還能有效檢測非異常狀態(tài)碼的檢測;通過結(jié)合異常掃描規(guī)則的權(quán)重累加,能夠動態(tài)評估每條異常請求的威脅程度,權(quán)重不僅提高了檢測的效率,還為異常掃描結(jié)果提供了明確的優(yōu)先級指導(dǎo);另一方面,結(jié)合加密協(xié)議能夠大幅降低共享ip地址、端口復(fù)用、動態(tài)ip分配和ip欺騙等技術(shù)對溯源與定位的影響本文檔來自技高網(wǎng)...
【技術(shù)保護點】
1.一種網(wǎng)絡(luò)掃描檢測方法,其特征在于,所述方法包括:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括構(gòu)建異常掃描檢測規(guī)則庫:
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對所述請求數(shù)據(jù)進行異常掃描,在命中所述異常掃描規(guī)則時,記錄為異常掃描記錄包括:
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)所述返回狀態(tài)碼、所述請求地址、所述返回大小和所述請求數(shù)據(jù)生成所述加密協(xié)議。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法包括:
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述根據(jù)所述異常掃描記錄命中的異常掃描規(guī)則的總權(quán)重和所述加密協(xié)議,得到異常掃描結(jié)果包括:
7.一種網(wǎng)絡(luò)掃描檢測裝置,其特征在于,所述裝置包括:
8.一種計算機設(shè)備,包括存儲器和處理器,所述存儲器存儲有計算機程序,其特征在于,所述處理器執(zhí)行所述計算機程序時實現(xiàn)權(quán)利要求1至6中任一項所述的方法的步驟。
9.一種計算機可讀存儲介質(zhì),其上存儲有計算機程序,其特征在于,所述計算機程序被處理器
10.一種計算機程序產(chǎn)品,包括計算機程序,其特征在于,該計算機程序被處理器執(zhí)行時實現(xiàn)權(quán)利要求1至6中任一項所述的方法的步驟。
...【技術(shù)特征摘要】
1.一種網(wǎng)絡(luò)掃描檢測方法,其特征在于,所述方法包括:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括構(gòu)建異常掃描檢測規(guī)則庫:
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述基于異常掃描檢測規(guī)則庫中的異常掃描規(guī)則對所述請求數(shù)據(jù)進行異常掃描,在命中所述異常掃描規(guī)則時,記錄為異常掃描記錄包括:
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)所述返回狀態(tài)碼、所述請求地址、所述返回大小和所述請求數(shù)據(jù)生成所述加密協(xié)議。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法包括:
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述根據(jù)所述異常掃...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:莫杏材,
申請(專利權(quán))人:天翼數(shù)字生活科技有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。