The invention provides an anti-scanning method, device and server based on machine learning Bayesian algorithm, in which the method is applied to the server. The method includes: collecting the access log of the client's current access behavior; extracting the characteristic value of the access log from the access log; inputting the characteristic value into the preset scanning behavior recognition model to output the recognition result; and the scanning. Behavior recognition model is trained by Naive Bayesian algorithm model; if the recognition results show that the current access behavior is a scanning behavior, the corresponding IP address of the current access behavior is identified; and the access behavior issued by the IP address is intercepted at the network level. The invention establishes a scanning behavior recognition model by machine learning Bayesian algorithm, identifies scanning behavior according to the scanning behavior recognition model, improves the recognition rate of scanning behavior, reduces the false alarm rate, and reduces the detection cost of scanning behavior.
【技术实现步骤摘要】
基于机器学习贝叶斯算法的防扫描方法、装置和服务器
本专利技术涉及网页安全防护
,尤其是涉及一种基于机器学习贝叶斯算法的防扫描方法、装置和服务器。
技术介绍
随着互联网技术的发展,网页应用系统已经广泛应用于政府门户网站、电子商务、互联网等行业,但是,在方便生活和工作的同时,也带来了网络安全隐患。黑客利用扫描技术不仅能够找到服务器漏洞进行攻击而且扫描产生的大量数据报文也占用了大量的网络带宽,导致正常的网络通讯无法进行。目前,对于扫描行为,主要是通过简单统计方法和高级安全专家通过经验人工识别扫描行为,这两种方法识别率低,且在海量访问日志情况下,工作量大,漏报率高,不能有效的识别检测出扫描行为来保障网络安全。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于机器学习贝叶斯算法的防扫描方法、装置和服务器,以提高扫描行为的识别率,降低漏报率,降低扫描行为的检测成本。第一方面,本专利技术实施例提供了一种基于机器学习贝叶斯算法的防扫描方法,其中,该方法应用于服务器,该方法包括:采集客户端当前访问行为的访问日志;从访问日志中提取访问日志的特征值;将特征值输入至预设的扫描行...
【技术保护点】
1.一种基于机器学习贝叶斯算法的防扫描方法,其特征在于,所述方法应用于服务器,所述方法包括:采集客户端当前访问行为的访问日志;从所述访问日志中提取所述访问日志的特征值;将所述特征值输入至预设的扫描行为识别模型中,输出识别结果;所述扫描行为识别模型通过朴素贝叶斯算法模型训练得到;如果所述识别结果表明当前访问行为为扫描行为,识别所述当前访问行为对应的IP地址;在网络层拦截所述IP地址发出的访问行为。
【技术特征摘要】
1.一种基于机器学习贝叶斯算法的防扫描方法,其特征在于,所述方法应用于服务器,所述方法包括:采集客户端当前访问行为的访问日志;从所述访问日志中提取所述访问日志的特征值;将所述特征值输入至预设的扫描行为识别模型中,输出识别结果;所述扫描行为识别模型通过朴素贝叶斯算法模型训练得到;如果所述识别结果表明当前访问行为为扫描行为,识别所述当前访问行为对应的IP地址;在网络层拦截所述IP地址发出的访问行为。2.根据权利要求1所述的方法,其特征在于,从所述访问日志中提取所述访问日志的特征值的步骤包括:去除所述访问日志中日志数量不足两秒或不足100条的IP地址;对去除后的所述访问日志进行特征提取,得到所述访问日志的特征值。3.根据权利要求1所述的方法,其特征在于,所述特征值包括响应码、过去两秒的日志量角度的正切值、过去两秒和本次访问日志相同IP的个数占比、过去两秒和本次访问日志相同IP的404占比、过去两秒和本次访问日志相同IP的端口方差、过去100条日志和本次日志相同IP的个数占比、过去100条日志和本次日志相同IP的404占比,以及过去100条日志和本次日志相同IP的端口方差中的多种。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:设置过去两秒相同IP不足100条端口的方差值为65535;设置过去100条日志相同IP不足3条端口的方差值为65535。5.根据权利要求1所述的方法,其特征在于,所述扫描行为识别模型,具体通过下述方式得到:采集客户端访问日志样本;所述访问日志样本包括扫描器行为日志样本和正常访问日志样本;搭建初始的朴素贝叶斯算法模型;提取所述访问日志样本的特征值;将所述访问日志样本划分成指定份数,采用K折交叉验证法,轮流将至少一份所述访问日志样本的特征值输入至所述初始的朴素贝叶斯算法模型中进行训练,得到扫描行为识别模型;将剩余至少一份所述访问日志样本的特征值通过所述扫描行为识别模型进行识别,输出识别结果;对比所述识别结果与所述识别结果对应的访...
【专利技术属性】
技术研发人员:唐其彪,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。