【技术实现步骤摘要】
一种云防护环境下网站扫描检测方法、系统及设备
本申请涉及网络安全
,特别涉及一种云防护环境下网站扫描检测方法、系统、设备及可读存储介质。
技术介绍
在云计算的背景下,很多网站开始摒弃传统的硬件WAF设备,纷纷走向零部署、零运维的云防护。但随着网络威胁的复杂多样,黑客的手段不断升级,采取的攻击手段也是更精准、更隐秘。但一般的攻击过程都离不开最开始恶意扫描探测,目的是对于要攻击的目标有更多的了解。在云防护环境下的扫描检测就变得异常重要,现阶段主要是通过对数据包的规则进行提取,判断规则较单一,虽然误判率较低,但很多黑客升级扫描行为检测不到,从而造成信息泄露,导致被非法入侵的概率增加。可见,如何在云防护环境下提供一种扫描行为的检测方案,避免信息泄露,是亟待本领域技术人员解决的问题。
技术实现思路
本申请的目的是提供一种云防护环境下网站扫描检测方法、系统、设备及可读存储介质,用以解决当前云防护环境下的扫描行为检测方案无法检测到黑客升级扫描行为,存在信息泄露的风险的问题。其具体方案如下:...
【技术保护点】
1.一种云防护环境下的网站扫描检测方法,其特征在于,包括:/n从云防护引擎采集目标网站的访问日志;/n利用基于机器学习的行为识别模型确定所述访问日志对应的行为类型;/n在所述行为类型为扫描行为时,判断当前IP是否达到封锁条件,其中所述当前IP为所述访问日志中记录的向所述目标网站发起访问的IP,所述封锁条件为:在预设时间范围内所述目标网站被访问的次数超过第一阈值,且,在所述预设时间范围内所述目标网站的响应码中403和404的占比超过第二阈值;/n若是,则在网络层对所述当前IP进行封锁。/n
【技术特征摘要】
1.一种云防护环境下的网站扫描检测方法,其特征在于,包括:
从云防护引擎采集目标网站的访问日志;
利用基于机器学习的行为识别模型确定所述访问日志对应的行为类型;
在所述行为类型为扫描行为时,判断当前IP是否达到封锁条件,其中所述当前IP为所述访问日志中记录的向所述目标网站发起访问的IP,所述封锁条件为:在预设时间范围内所述目标网站被访问的次数超过第一阈值,且,在所述预设时间范围内所述目标网站的响应码中403和404的占比超过第二阈值;
若是,则在网络层对所述当前IP进行封锁。
2.如权利要求1所述的方法,其特征在于,在所述从云防护引擎采集目标网站的访问日志之前,还包括:
根据配置信息,确定目标网站,并将所述目标网站的访问流量引流至云防护引擎,其中所述配置信息包括:域名、IP、端口号。
3.如权利要求2所述的方法,其特征在于,所述配置信息还包括告警参数,在所述在网络层对所述当前IP进行封锁之后,还包括:
获取所述目标网站的告警参数,根据所述告警参数进行告警,其中所述告警参数包括以下任意一项或多项:告警方式、告警联系人、告警时间。
4.如权利要求1所述的方法,其特征在于,在所述在网络层对所述当前IP进行封锁之后,还包括:
生成封锁记录,其中所述封锁记录包括以下信息:当前IP、封锁时间、目标网站。
5.如权利要求4所述的方法,其特征在于,所述在网络层对所述当前IP进行封锁,包括:
根据历史封锁记录,确定所述当前IP被封锁的次数;根据所述次数确定本次封锁时间,并在网络层对所述当前IP进行封锁。<...
【专利技术属性】
技术研发人员:李雅苹,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。