【技术实现步骤摘要】
本申请涉及网络安全,特别是涉及一种网络扫描检测方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
1、随着网络攻击手段的不断演变,自动化扫描工具在网络安全领域的应用日益普遍。由于这些工具的广泛使用以及web应用(浏览器应用程序)配置的多样性,单纯依赖返回的状态码或基于规则集的检测手段已难以应对复杂的攻击场景。同时,受ipv4(internetprotocol version 4,互联网协议第4版)地址短缺问题和nat(network addresstranslation,网络地址转换)技术发展的影响,共享ip(internet protocol,互联网协议)地址、端口复用和动态分配、动态ip地址、ip欺骗技术等技术的使用越来越多,以及攻击者可能会利用大量不同的ip来进行攻击,这些技术使得攻击者通过多个设备或伪造ip地址进行攻击成为可能,进一步加大了溯源难度。攻击者可能使用大量不同的ip地址进行分布式攻击,使得单纯依靠ip层面的溯源和定位在现代网络环境中显得不再有效和可靠,给网络防护带来了显著挑战。
2、传统技术大多仅基于ip层面,通过单一返回状态码或预设的扫描检测规则集进行分析。然而,由于业务的复杂性和多样性,这种方法仅能有效检测到如404、403等常规异常状态码的扫描,对于返回200、302、401等非异常状态码的扫描却难以察觉。此外,依赖ip层面的扫描分析也无法解决nat环境下的挑战,如共享ip地址、端口复用、动态ip分配和ip欺骗技术等问题,使得溯源和定位攻击者变得更加困难。这种单一的检测方式在面对复
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种能够快速识别异常访问并对异常访问请求进行准确定位、溯源的网络扫描检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种网络扫描检测方法。该方法包括:
3、采集日志数据中的请求数据和加密协议;
4、基于异常扫描检测规则库中的异常扫描规则对请求数据进行异常扫描,在命中异常扫描规则时,记录为异常扫描记录;异常扫描记录包括请求数据和加密协议命中的异常检测扫描规则;
5、根据异常扫描记录命中的异常扫描规则的总权重和加密协议,得到异常扫描结果。
6、在其中一个实施例中,还包括构建异常扫描检测规则库:
7、获取异常扫描规则;异常扫描规则包括:返回异常状态码、返回状态码及请求地址、返回状态码及请求地址及返回大小;
8、对各异常扫描规则的权重进行赋值,构建异常扫描检测规则库。
9、在其中一个实施例中,基于异常扫描检测规则库中的异常扫描规则对请求数据进行异常扫描,在命中异常扫描规则时,记录为异常扫描记录包括:
10、对请求数据的返回结果进行扫描;
11、将异常扫描检测规则库中的异常扫描规则与返回结果进行比对;
12、在返回结果命中异常扫描规则的情况下,记录为异常扫描记录并获取命中异常扫描规则的权重;
13、在返回结果未命中异常扫描规则的情况下,丢弃非异常扫描数据。
14、在其中一个实施例中,根据返回状态码、请求地址、返回大小和请求数据生成加密协议。
15、在其中一个实施例中,该方法还包括:
16、获取预设时间窗口和预设权重阈值,构建异常扫描判断规则库;预设权重阈值为预设时间窗口下异常扫描记录的最大权重。
17、在其中一个实施例中,根据异常扫描记录命中的异常扫描规则的总权重和加密协议,得到异常扫描结果包括:
18、根据异常扫描判断规则库选取预设时间窗口,对预设时间窗口下异常扫描规则的权重进行聚合,得到时间窗口下异常扫描记录的总权重;
19、对比异常扫描记录的总权重与预设权重阈值;
20、在异常扫描记录的总权重大于预设权重阈值的情况下,判定异常扫描结果为异常;
21、在异常扫描记录的总权重不大于预设权重阈值的情况下,判定异常扫描结果为正常。
22、第二方面,本申请还提供了一种网络扫描检测装置。该装置包括:
23、采集模块,用于采集日志数据中的请求数据和加密协议;
24、扫描记录模块,用于基于异常扫描检测规则库中的异常扫描规则对请求数据进行异常扫描,在命中异常扫描规则时,记录为异常扫描记录;异常扫描记录包括请求数据和加密协议命中的异常检测扫描规则;
25、输出模块,用于根据异常扫描记录命中的异常扫描规则的总权重和加密协议,得到异常扫描结果。
26、第三方面,本申请还提供了一种计算机设备。该计算机设备包括存储器和处理器,该存储器存储有计算机程序,该处理器执行所述计算机程序时实现以下步骤:
27、采集日志数据中的请求数据和加密协议;
28、基于异常扫描检测规则库中的异常扫描规则对请求数据进行异常扫描,在命中异常扫描规则时,记录为异常扫描记录;异常扫描记录包括请求数据和加密协议命中的异常检测扫描规则;
29、根据异常扫描记录命中的异常扫描规则的总权重和加密协议,得到异常扫描结果。
30、第四方面,本申请还提供了一种计算机可读存储介质。该计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
31、采集日志数据中的请求数据和加密协议;
32、基于异常扫描检测规则库中的异常扫描规则对请求数据进行异常扫描,在命中异常扫描规则时,记录为异常扫描记录;异常扫描记录包括请求数据和加密协议命中的异常检测扫描规则;
33、根据异常扫描记录命中的异常扫描规则的总权重和加密协议,得到异常扫描结果。
34、第五方面,本申请还提供了一种计算机程序产品。该计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
35、采集日志数据中的请求数据和加密协议;
36、基于异常扫描检测规则库中的异常扫描规则对请求数据进行异常扫描,在命中异常扫描规则时,记录为异常扫描记录;异常扫描记录包括请求数据和加密协议命中的异常检测扫描规则;
37、根据异常扫描记录命中的异常扫描规则的总权重和加密协议,得到异常扫描结果。
38、上述网络扫描检测方法、装置、计算机设备、存储介质和计算机程序产品,根据异常扫描检测规则库中的异常扫描规则,对扫描的请求数据进行检测,由多个规则对请求数据进行多个维度的检测,实现对请求数据的全面扫描检测,不仅能够识别常见的异常状态码,还能有效检测非异常状态码的检测;通过结合异常扫描规则的权重累加,能够动态评估每条异常请求的威胁程度,权重不仅提高了检测的效率,还为异常扫描结果提供了明确的优先级指导;另一方面,结合加密协议能够大幅降低共享ip地址、端口复用、动态ip分配和ip欺骗等技术对溯源与定位的影响本文档来自技高网...
【技术保护点】
1.一种网络扫描检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,还包括构建异常扫描检测规则库:
3.根据权利要求2所述的方法,其特征在于,所述基于异常扫描检测规则库中的异常扫描规则对所述请求数据进行异常扫描,在命中所述异常扫描规则时,记录为异常扫描记录包括:
4.根据权利要求2所述的方法,其特征在于,根据所述返回状态码、所述请求地址、所述返回大小和所述请求数据生成所述加密协议。
5.根据权利要求1所述的方法,其特征在于,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述异常扫描记录命中的异常扫描规则的总权重和所述加密协议,得到异常扫描结果包括:
7.一种网络扫描检测装置,其特征在于,所述装置包括:
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种网络扫描检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,还包括构建异常扫描检测规则库:
3.根据权利要求2所述的方法,其特征在于,所述基于异常扫描检测规则库中的异常扫描规则对所述请求数据进行异常扫描,在命中所述异常扫描规则时,记录为异常扫描记录包括:
4.根据权利要求2所述的方法,其特征在于,根据所述返回状态码、所述请求地址、所述返回大小和所述请求数据生成所述加密协议。
5.根据权利要求1所述的方法,其特征在于,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述异常扫...
【专利技术属性】
技术研发人员:莫杏材,
申请(专利权)人:天翼数字生活科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。