Web漏洞扫描的检测方法及装置制造方法及图纸

本申请提供的Web漏洞扫描的检测方法及装置，所述方法包括：获取被检测Web目标的请求和/或应答数据的行为特征；将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。应用本申请实施例，可以实现检测出分布式Web漏洞扫描的情况。

Method and device for detecting Web vulnerability scanning

The invention provides a method and a device for detecting the Web vulnerability scanning, the method comprises: acquiring behavior is detection of Web request and / or response data; the behavior characteristics in the attack feature rule base of presupposition matching; contain the attack characteristics and attack the attack feature score rule. And the characteristics of the attack and attack scores corresponding; according to the behavior characteristics of the attack hit feature rule base of the corresponding attack score, the statistical default length is detection of Web attack in the attack the total score; total score is greater than a preset threshold, the detection results obtained by distributed Web the target is detected Web vulnerability scanning. Application of this application, you can achieve the detection of distributed Web vulnerability scanning.

【技术实现步骤摘要】

本申请涉及互联网
，尤其涉及一种Web漏洞扫描的检测方法及装置。
技术介绍
Web漏洞扫描可以用于查找Web服务器中的漏洞。但是，该技术容易被黑客用于获取Web服务器上的漏洞，从而对该Web服务器进行攻击。现有技术中，安全防护设备主要是基于单IP的统计方式来检测Web漏洞扫描的。例如，统计某个Web服务器中单个源IP的访问频率，如果所述访问频率大于预设阈值，那么说明该单个源IP正在对Web服务器进行Web漏洞扫描。然而，随着漏洞扫描技术的发展，Web漏洞扫描已经从传统的单机Web漏洞扫描模式发展到分布式Web漏洞扫描模式。而在分布式Web漏洞扫描的情况下，攻击方是可以通过大量的客户端向Web服务器进行Web漏洞扫描的，而每个客户端可能仅扫描少数几次，如此上述基于单IP的统计方式往往无法检测出分布式Web漏洞扫描的情况。
技术实现思路
本申请提供的Web漏洞扫描的检测方法及装置，以解决现有技术中无法检测出分布式Web漏洞扫描的问题。根据本申请实施例提供的一种Web漏洞扫描的检测方法，所述方法包括：获取被检测Web目标的请求和/或应答数据的行为特征；将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。可选的，所述根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值，具体包括：统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值；所述单一攻击分值为该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和；将所有单个源IP的单一攻击分值相加，得到所述被检测Web目标的攻击总分值。可选的，在所述统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值之后，所述方法还包括：从所述所有单个源IP的单一攻击分值中，筛选出分值最高的单一攻击分值；在所述分值最高的单一攻击分值大于预设分值的情况下，得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。可选的，所述单一攻击分值通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的行为特征的第一分值；将所有命中的行为特征所得到的第一分值相加，得到该单个源IP的单一攻击分值。可选的，所述单一攻击分值通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；在命中次数等于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的攻击特征的第二分值；在命中次数大于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数后，再乘以权重值，得到该命中的攻击特征的第三分值；将所有命中的行为特征所得到的第二分值和第三分值相加，得到该单个源IP的单一攻击分值。根据本申请实施例提供的一种Web漏洞扫描的检测装置，所述装置包括：获取单元，用于获取被检测Web目标的请求和/或应答数据的行为特征；匹配单元，用于将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；统计单元，用于根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；检测单元，用于在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。可选的，所述统计单元，具体包括：第一统计子单元，用于统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值；所述单一攻击分值为该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和；第二统计子单元，用于将所有单个源IP的单一攻击分值相加，得到所述被检测Web目标的攻击总分值。可选的，在所述第一统计子单元之后，所述装置还包括：筛选子单元，用于从所述所有单个源IP的单一攻击分值中，筛选出分值最高的单一攻击分值；检测子单元，用于在所述分值最高的单一攻击分值大于预设分值的情况下，得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。可选的，所述第一统计子单元，具体包括：获取子单元，用于获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；第一计算子单元，用于将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的行为特征的第一分值；求和子单元，用于将所有命中的行为特征所得到的第一分值相加，得到该单个源IP的单一攻击分值。可选的，所述第一统计子单元，具体包括：获取子单元，用于获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；第二计算子单元，用于在命中次数等于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的攻击特征的第二分值；第三计算子单元，用于在命中次数大于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数后，再乘以权重值，得到该命中的攻击特征的第三分值；求和子单元，用于将所有命中的行为特征所得到的第二分值和第三分值相加，得到该单个源IP的单一攻击分值。本申请实施例中，通过预先在攻击特征规则库中对攻击特征进行打分，从而使得预设的攻击特征规则库中包含攻击特征和攻击分值，并且所述攻击特征与攻击分值一一对应。如此，在对被检测Web目标进行检测时，可以将所述被检测Web目标的请求和/或应答数据的行为特征在所述预设的攻击特征规则库中进行匹配，根据命中的行为特征对应的攻击分值来统计预设时长内该被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。由于所述攻击总分值是统计了所有源IP命中攻击特征规则库的情况，所以可以实现检测出分布式Web漏洞扫描的情况，避免了仅根据单个源IP来作为检测Web漏洞扫描的依据。附图说明图1是现有技术中Web漏洞扫描的检测方法的流程图；图2是本申请Web漏洞扫描的检测装置所在设备的一种硬件结构图；图3是本申请一实施例提供的Web漏洞扫描的检测装置的模块图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二本文档来自技高网...

【技术保护点】
一种Web漏洞扫描的检测方法，其特征在于，所述方法包括：获取被检测Web目标的请求和/或应答数据的行为特征；将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。

【技术特征摘要】
1.一种Web漏洞扫描的检测方法，其特征在于，所述方法包括：获取被检测Web目标的请求和/或应答数据的行为特征；将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。2.根据权利要求1所述的方法，其特征在于，所述根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值，具体包括：统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值；所述单一攻击分值为该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和；将所有单个源IP的单一攻击分值相加，得到所述被检测Web目标的攻击总分值。3.根据权利要求2所述的方法，其特征在于，在所述统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值之后，所述方法还包括：从所述所有单个源IP的单一攻击分值中，筛选出分值最高的单一攻击分值；在所述分值最高的单一攻击分值大于预设分值的情况下，得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。4.根据权利要求2所述的方法，其特征在于，所述单一攻击分值通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的行为特征的第一分值；将所有命中的行为特征所得到的第一分值相加，得到该单个源IP的单一攻击分值。5.根据权利要求2所述的方法，其特征在于，所述单一攻击分值通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；在命中次数等于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的攻击特征的第二分值；在命中次数大于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数后，再乘以权重值，得到该命中的攻击特征的第三分值；将所有命中的行为特征所得到的第二分值和第三分值相加，得到该单个源IP的单一攻击分值。6.一种Web漏洞扫描的检测装置，其特征在于，所述...

【专利技术属性】
技术研发人员：吴庆，
申请(专利权)人：杭州迪普科技有限公司，
类型：发明
国别省市：浙江;33