本申请提供一种目录爆破行为的确定方法、装置、电子设备及存储介质。该方法包括:获取长时时间窗口内的各请求中的URI,其中,长时时间窗口的时长为第一预设时长;确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的含敏感后缀URI比例,敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若非重复URI比例大于第一预设比例,且含敏感后缀URI比例大于预设比例,则确定长时时间窗口内出现目录爆破行为。通过该方式,能对长时时间窗口内的目录爆破行为进行检测,从而能降低现有技术中检测目录爆破行为的漏报率,进而能解决现有技术检测目录爆破行的准确率较低的问题。准确率较低的问题。准确率较低的问题。
【技术实现步骤摘要】
目录爆破行为的确定方法、装置、电子设备及存储介质
[0001]本申请涉及数据处理
,具体而言,涉及一种目录爆破行为的确定方法、装置、电子设备及存储介质。
技术介绍
[0002]现有的检测Web目录爆破的方法较为单一,通常是通过统计一定时间窗口内的路径访问频次、请求失败占比等,从而判断是否有目录爆破行为发生。但该检测方式存在漏报和误报的情况,使得对目录爆破行为的检测不够准确。
技术实现思路
[0003]本申请实施例的目的在于提供一种目录爆破行为的确定方法、装置、电子设备及存储介质,以改善“现有技术检测目录爆破行为的准确率较低”的问题。
[0004]本专利技术是这样实现的:
[0005]第一方面,本申请实施例提供一种目录爆破行为的确定方法,所述方法包括:获取长时时间窗口内的各请求中的URI,其中,所述长时时间窗口的时长为第一预设时长;确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的含敏感后缀URI比例,所述敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若所述非重复URI比例大于第一预设比例,且所述含敏感后缀URI比例大于第二预设比例,则确定所述长时时间窗口内出现目录爆破行为。
[0006]在本申请实施例中,因在长时时间窗口内,通常会出现低频目录爆破行为,且该低频目录爆破行为通常是通过使用路径字典,进行不同的URI路径访问,访问的速度较低。因此,通过判断长时时间窗口内的非重复URI比例是否大于第一预设比例,以及含敏感后缀URI比例是否大于第二预设比例,从而能检测长时时间窗口内是否出现低频目录爆破行为,以降低检测目录爆破行为的漏报率,进而能提高检测检测目录爆破行为的准确率。
[0007]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述获取长时时间窗口内的各请求中的URI,包括:获取所述长时时间窗口内的流量;通过tshark对所述流量进行解析,得到结构化数据;从所述结构化数据中,获取http.request.uri字段对应的数据,其中,所述http.request.uri字段对应的数据包括所述各请求中的URI。
[0008]在本申请实施例中,通过上述方式,能快速且准确地从长时时间窗口内的流量中,获取到长时时间窗口内的各请求中的URI。
[0009]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述第一预设时长为1小时
‑
24小时之间。
[0010]在本申请实施例中,通过将长时时间窗口的时长设置为1小时
‑
24小时之间,能更有利于对目标爆破行为的检测,即不会因时长过短,使得无法从数据中检测出目录爆破行为,也不会因时长设置过长而无法及时检测出目录爆破行为,从而能提高检测目录爆破行为的准确率。
[0011]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述敏感后缀包括tar、tar.gz、zip、rar、7z、bz2、gz、_bak.rar、war、mdb、.sh、.bak、.ini、.env、.secret和.key。
[0012]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,其中,所述短时时间窗口的时长为第二预设时长,且所述第一预设时长大于所述第二预设时长;确定所述短时时间窗口内的非重复的URI在全部URI中的非重复URI比例;若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述短时时间窗口内的非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录爆破行为。
[0013]在本申请实施例中,通过上述方式,能根据HEAD方法的请求次数是否大于GET方法的请求次数、非重复URI是否比例大于第三预设比例、以及请求频次是否大于预设频次这三方面检测是否存在高频目录爆破行为。相较于现有技术中只通过统计较短的时间窗口内的路径访问频次、请求失败占比判断是否有高频目录爆破行为,上述方式能从更多维度更准确的检测短时时间内是否存在高频目录爆破行为,从而能进一步提高检测检测目录爆破行为的准确率。
[0014]结合上述第一方面提供的技术方案,在一些可能的实现方式中,在所述确定所述短时时间窗口内出现目录爆破行为之前,所述方法还包括:获取所述短时时间窗口内各请求对应的响应消息中的状态码;确定所述短时时间窗口内的非正常的状态码在全部状态码中的非正常状态码比例;所述若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录爆破行为,包括:若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例、所述请求频次大于预设频次且所述非正常状态码比例大于第四预设比例,则确定所述短时时间窗口内出现目录爆破行为。
[0015]在本申请实施例中,通过上述方式,在检测HEAD方法的请求次数是否大于GET方法的请求次数、非重复URI是否比例大于第三预设比例、以及请求频次是否大于预设频次的基础上,进一步检测非正常状态码比例是否大于第四预设比例,即增加一个检测条件,使得能从更多维度更准确的检测短时时间内是否存在高频目录爆破行为,进而能进一步提高检测目录爆破行为的准确率。
[0016]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,包括:获取所述短时时间窗口内的流量;通过tshark对该流量进行解析,得到结构化数据;从该结构化数据中,获取frame.time、http.request.method和http.request.uri字段对应的数据,其中,该frame.time字段对应的数据包括所述短时时间窗口内的各请求对应的请求时间,该http.request.method字段对应的数据包括所述短时时间窗口内的各请求对应的请求类型;该http.request.uri字段对应的数据包括所述短时时间窗口内的各请求中的URI;通过所述frame.time、http.request.method和http.request.uri字段对应的数据,获取所述HEAD方法的请求次数、所述GET方法的请求次数、所述短时时间窗口内的各请求中的URI和所述请求频次。
[0017]在本申请实施例中,通过上述方式,能快速且准确地从短时时间窗口内的流量中,获取到短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次。
[0018]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述第二预设时长在2分钟
‑
20分钟之间。
[0019]在本申请实施例中,通过将短时时间窗口的时长设置为2分钟
‑
20分钟小时之间本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种目录爆破行为的确定方法,其特征在于,所述方法包括:获取长时时间窗口内的各请求中的URI,其中,所述长时时间窗口的时长为第一预设时长;确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的含敏感后缀URI比例,所述敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若所述非重复URI比例大于第一预设比例,且所述含敏感后缀URI比例大于第二预设比例,则确定所述长时时间窗口内出现目录爆破行为。2.根据权利要求1所述的方法,其特征在于,所述获取长时时间窗口内的各请求中的URI,包括:获取所述长时时间窗口内的流量;通过tshark对所述流量进行解析,得到结构化数据;从所述结构化数据中,获取http.request.uri字段对应的数据,其中,所述http.request.uri字段对应的数据包括所述各请求中的URI。3.根据权利要求1所述的方法,其特征在于,所述第一预设时长为1小时
‑
24小时之间。4.根据权利要求1所述的方法,其特征在于,所述敏感后缀包括tar、tar.gz、zip、rar、7z、bz2、gz、_bak.rar、war、mdb、.sh、.bak、.ini、.env、.secret和.key。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,其中,所述短时时间窗口的时长为第二预设时长,且所述第一预设时长大于所述第二预设时长;确定所述短时时间窗口内的非重复的URI在全部URI中的非重复URI比例;若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述短时时间窗口内的非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录爆破行为。6.根据权利要求5所述的方法,其特征在于,在所述确定所述短时时间窗口内出现目录爆破行为之前,所述方法还包括:获取所述短时时间窗口内各请求对应的响应消息中的状态码;确定所述短时时间窗口内的非正常的状态码在全部状态码中的非正常状态码比例;所述若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录爆破行为,包括:若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例、所述请求频次大于预设频次且所述非正常状态码比例大于第四预设比例,则确定所述短时时间窗口内出现目录爆破行为。7.根据权利要求5所述的方法,其特征在于,所述获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,包括:获取所述短时时间窗口内的流量;通过tshark对该流量进行解析,得到结构化数据;
从该结构化数据...
【专利技术属性】
技术研发人员:叶树佳,徐钟豪,谢忱,刘伟,
申请(专利权)人:上海斗象信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。