本申请提供一种恶意系统漏洞扫描器的识别方法和装置,所述方法包括:在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。本申请技术方案可以快速准确地识别恶意系统漏洞扫描器。
【技术实现步骤摘要】
本申请涉及通信
,尤其涉及一种恶意系统漏洞扫描器的识别方法和装置。
技术介绍
随着互联网的高速发展,利用系统漏洞进行攻击的网络安全事件越来越严重,攻击的危害和影响范围也越来越大。通常,攻击者会先利用系统漏洞扫描器进行漏洞扫描以获取系统漏洞,再利用获取到的系统漏洞进行攻击。因此为了防范恶意的漏洞扫描,快速准确地识别恶意系统漏洞扫描器非常必要。
技术实现思路
有鉴于此,本申请提供一种恶意系统漏洞扫描器的识别方法和装置,以解决相关技术中无法快速准确地识别恶意系统漏洞扫描器的问题。具体地,本申请是通过如下技术方案实现的:第一方面,本申请提供一种恶意系统漏洞扫描器的识别方法,所述方法包括:在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。第二方面,本申请提供一种恶意系统漏洞扫描器的识别装置,所述装置包括:记录单元,用于在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;统计单元,用于统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;确定单元,当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。分析上述技术方案可知,用户可以根据服务器提供的业务确定服务器的非业务端口号,并将一个或多个所述非业务端口号设置为用于检测恶意系统漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。与相关技术中第一种方案相比,服务器可以根据接收到的面向非业务端口的访问请求,即异常的访问请求的数量,识别恶意系统漏洞扫描器,提升了服务器识别恶意系统漏洞扫描器的准确性。与相关技术中第二种方案相比,服务器可以在接收到访问请求后对恶意系统漏洞扫描器进行识别,可以及时识别出恶意系统漏洞扫描器;另外,恶意系统漏洞扫描器是否修改了报文的特征码对服务器识别并无影响,提升了服务器识别恶意系统漏洞扫描器的准确性。综合来看,本技术方案服务器可以快速准确地识别恶意系统漏洞扫描器。附图说明图1是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的组网图;图2是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的流程图;图3是本申请一示例性实施例示出的另一种恶意系统漏洞扫描器的识别方法的流程图;图4是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别装置所在设备的硬件结构图;图5是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。相关技术中,识别恶意系统漏洞扫描器有两种方案:第一种是统计一定时间内接收到的来自同一IP地址的访问请求的数量,如果来自某一IP地址的访问请求的数量超过阈值,则可以确定这些访问请求来自恶意系统漏洞扫描器;第二种是对接收到的报文进行检测,如果检测到异常的报文,例如检测到某个超过常规长度的报文,或者基于特征码确定某个报文为攻击报文,则可以确定该报文来自恶意系统漏洞扫描器。但是,第一种方案无法区分正常的访问请求和异常的访问请求,可能导致误报;第二种方案通常在恶意系统漏洞扫描器完成访问后才能实现,比较滞后,且当恶意系统漏洞扫描器对报文的特征码进行修改后将导致无法识别。参考图1,为本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的组网图,该网络中包括服务器和终端设备,服务器与终端设备之间可以通过互联网进行数据传输。通常,在终端设备与服务器交互时,终端设备可以向服务器发送访问请求以获取服务器信息,所述访问请求的目的端口号为与该业务对应的端口号。比如:在用户浏览网页时,终端设备可以向服务器发送目的端口号为80的访问请求,其中80为HTTP(HyperTextTransferProtocol,超文本传输协议)业务所使用的端口号。攻击者可以利用安装在终端设备中的系统漏洞扫描器盗取服务器信息,届时,该系统漏洞扫描器除了可以向服务器发送目的端口号为对应业务端口号的访问请求之外,还可以向服务器发送目的端口号为非业务端口号的访问请求。结合上述组网图1,参考图2,为本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的流程图,该方法可以应用于图1中的服务器,包括以下步骤:步骤201:在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口。在本实施例中,用户可以先根据服务器提供的业务,确定服务器的非业务端口号,并将一个或多个所述非业务端口号设置为用于检测恶意系统漏洞扫描器的端口号。其中,所述非业务端口号为与服务器提供的业务均不相关的端口号。此后,服务器可以根据接收到的访问请求的目的端口号,检测是否接收到面向所述检测端口的访问请求。如果接收到面向所述检测端口的访问请求,则说明在终端设备中可能存在恶意系统漏洞扫描器,服务器可以将该访问请求的源IP地址作为可疑IP地址进行记录;如果未接收到面向所述检测端口的访问请求,则说明暂未检测到恶意系统漏洞扫描器,服务器可以继续进行检测。步骤202:统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。在本实施例中,服务器可以根据访问请求的源IP地址和目的端口号,统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量。步骤203:当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。在本实施例中,如果在前述步骤202中统计到的数量大于预设的阈值,则服务器可以确定所述访问请求的发送方为恶意系统漏洞扫描器;否则,服务器可以继续执行步骤202。由上述实施例可见,用户可以根据服务器提供的业务确定服务器的非业务端口号,并将一个或多个所述非业务端口号设置为用于检测恶意系统漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时,确定所述访问请本文档来自技高网...
【技术保护点】
一种恶意系统漏洞扫描器的识别方法,其特征在于,所述方法包括:在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。
【技术特征摘要】
1.一种恶意系统漏洞扫描器的识别方法,其特征在于,所述方法包括:在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在达到预设的统计周期时,如果所述数量小于等于所述阈值,则将所述数量清零,并重新开始统计。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:在确定所述访问请求的发送方为恶意系统漏洞扫描器后,针对所述恶意系统漏洞扫描器进行告警,或者在预设的阻断周期内丢弃来自所述恶意系统漏洞扫描器的访问请求。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:在针对所述恶意系统漏洞扫描器进行告警或丢弃来自所述恶意系统漏洞扫描器的访问请求后,将所述数量清零,并重新开始统计。5.根据权利要求1所述的方法,其特征在于,所述统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量,包括:针对所有检测端口,统计来自所述可疑IP地址的访问请求的总数量。6.一种恶意系统漏洞扫描器...
【专利技术属性】
技术研发人员:李小龙,王树太,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。