本申请涉及一种漏洞扫描请求的处理方法、装置、电子设备及计算机可读介质。该方法包括:由实时流量数据中提取漏洞扫描请求;获取所述漏洞扫描请求的响应数据;按照预设策略对所述响应数据进行替换,生成替换数据;将所述替换数据基于所述响应数据的源路径转发出去。本申请涉及的漏洞扫描请求的处理方法、装置、电子设备及计算机可读介质,能够在不影响网络正常交互的前提下,混淆服务端的版本号信息,迷惑漏洞扫描器,从而躲避漏洞检测,防止黑客利用漏洞攻击系统,保证系统安全。保证系统安全。保证系统安全。
【技术实现步骤摘要】
漏洞扫描请求的处理方法及装置
[0001]本公开涉及计算机信息处理领域,具体而言,涉及一种漏洞扫描请求的处理方法、装置、电子设备及计算机可读介质。
技术介绍
[0002]黑客攻击一般分为五步:1、隐藏IP。2、踩点扫描。3、获得系统或管理员权限。4、种植后门。5、在网络中隐身。其中踩点扫描是攻击开始的最关键一步。
[0003]黑客扫描采用扫描工具,对目标系统进行漏洞检测。首先探测目标系统的存活主机,对存活主机进行端口扫描,确定系统开放的端口,同时根据协议指纹技术识别出主机的操作系统类型。然后扫描器对开放的端口进行网络服务类型的识别,确定其提供的网络服务。漏洞扫描器根据目标系统的操作系统平台和提供的网络服务,调用漏洞资料库中已知的各种漏洞进行逐一检测,通过对探测响应数据包的分析判断是否存在漏洞。
[0004]所以从攻击防护角度出发,如果能防止漏洞扫描,那黑客就发现不了内部资产和漏洞,也就无法利用漏洞来破坏系统或获取数据了。
[0005]现在企业为了防止外部漏洞扫描,就会部署防火墙或入侵防御系统来进行安全防护。识别扫描器的方法有:
[0006]1、通过识别扫描器的指纹特征从而识别扫描器,将扫描器的IP地址加入黑名单。从而阻断扫描。但是,当扫描器隐藏自己的指纹时,这种方案就会失效。
[0007]2、通过识别扫描频度来识别扫描器。通过统计某IP访问服务器的数量、频度来确定是否为扫描。这个方式很容易误判。另外,当攻击者有意延长攻击周期躲避统计窗口,那么就无法识别此扫描行为。
[0008]因此,需要一种新的漏洞扫描请求的处理方法、装置、电子设备及计算机可读介质。
[0009]在所述
技术介绍
部分公开的上述信息仅用于加强对本申请的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0010]有鉴于此,本申请提供一种漏洞扫描请求的处理方法、装置、电子设备及计算机可读介质,能够在不影响网络正常交互的前提下,混淆服务端的版本号信息,迷惑漏洞扫描器,从而躲避漏洞检测,防止黑客利用漏洞攻击系统,保证系统安全。
[0011]本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
[0012]根据本申请的一方面,提出一种漏洞扫描请求的处理方法,可应用于反扫描检测系统,该方法包括:由实时流量数据中提取漏洞扫描请求;获取所述漏洞扫描请求的响应数据;按照预设策略对所述响应数据进行替换,生成替换数据;将所述替换数据基于所述响应数据的源路径转发出去。
[0013]在本申请的一种示例性实施例中,由实时流量数据中提取漏洞扫描请求,包括:获取实时流量数据;对所述实时流量数据进行识别以提取所述漏洞扫描请求。
[0014]在本申请的一种示例性实施例中,对所述实时流量数据进行识别以提取所述漏洞扫描请求,包括:通过所述实时流量数据的目的端口和特征码进行识别;在识别出漏洞扫描请求后,记录所述漏洞请求的会话信息。
[0015]在本申请的一种示例性实施例中,获取所述漏洞扫描请求的响应数据,包括:根据所述会话信息提取所述响应数据。
[0016]在本申请的一种示例性实施例中,按照预设策略对所述响应数据进行替换,生成替换数据,包括:提取所述响应数据的应用类型;根据所述应用类型对所述响应数据进行解析;由解析结果中提取版本指纹;根据所述版本指纹对所述响应数据进行替换,生成所述替换数据。
[0017]在本申请的一种示例性实施例中,根据所述版本指纹对所述响应数据进行替换,生成所述替换数据,包括:将所述版本指纹和预存的多个版本指纹进行匹配;根据匹配结果提取版本号;对所述版本号进行替换以生成所述替换数据。
[0018]在本申请的一种示例性实施例中,对所述版本号进行替换以生成所述替换数据,包括:根据所述版本号和应用类型在漏洞关系数据库中进行匹配;根据匹配结果对所述版本号进行替换以生成所述替换数据。
[0019]在本申请的一种示例性实施例中,根据匹配结果对所述版本号进行替换以生成所述替换数据,包括:在匹配结果中包含漏洞版本号时,用已修复版本号替换所述版本号,并生成所述替换数据。
[0020]在本申请的一种示例性实施例中,根据匹配结果对所述版本号进行替换以生成所述替换数据,包括:在匹配结果中未匹配版本号时,用最大已修复版本号替换所述版本号,并生成所述替换数据。
[0021]根据本申请的一方面,提出一种漏洞扫描请求的处理装置,可应用于反扫描检测系统,该装置包括:请求模块,用于由实时流量数据中提取漏洞扫描请求;响应模块,用于获取所述漏洞扫描请求的响应数据;替换模块,用于按照预设策略对所述响应数据进行替换,生成替换数据;转发模块,用于将所述替换数据基于所述响应数据的源路径转发出去。
[0022]根据本申请的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
[0023]根据本申请的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
[0024]根据本申请的漏洞扫描请求的处理方法、装置、电子设备及计算机可读介质,通过由实时流量数据中提取漏洞扫描请求;获取所述漏洞扫描请求的响应数据;按照预设策略对所述响应数据进行替换,生成替换数据;将所述替换数据基于所述响应数据的源路径转发出去的方式,能够在不影响网络正常交互的前提下,混淆服务端的版本号信息,迷惑漏洞扫描器,从而躲避漏洞检测,防止黑客利用漏洞攻击系统,保证系统安全。
[0025]应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
Programs)和防火墙(Packet Filter,Application Gateway)的补充。入侵预防系统(Intrusion
‑
prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
[0044]漏洞扫描技术:漏洞扫描一般指扫描暴露在外网或者内网里的系统、网络组件或应用程序,检测其中的漏洞或安全弱点,而漏洞扫描器则是用来执行漏洞扫描的工具。漏洞扫描器一般基于漏洞数据库来检查远程主机,漏洞数据库包含了检查安全问题的所有信息(服务、端口、包类型、潜在的攻击路径,等等)。它可以扫描网络和网站上的上千个漏洞,提供一个风险列表,以及补救的建议。
[0045]计算机黑客:黑客是指精通网络、系统、外设以及软硬件技术的一类人。
[0046]本案申请人经过分析指出,漏洞扫描器对存活的主机发送正常的请求探测,再从主机响应的报文中提取应用的版本信息,从而就能知道主机使用的是某版本的系统,此时再调用漏洞资料库找到针对该版本的漏洞信息,就可以调用对用的漏洞检测引擎,对本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种漏洞扫描请求的处理方法,可应用于反扫描检测系统,其特征在于,包括:由实时流量数据中提取漏洞扫描请求;获取所述漏洞扫描请求的响应数据;按照预设策略对所述响应数据进行替换,生成替换数据;将所述替换数据基于所述响应数据的源路径转发出去。2.如权利要求1所述的方法,其特征在于,由实时流量数据中提取漏洞扫描请求,包括:获取实时流量数据;对所述实时流量数据进行识别以提取所述漏洞扫描请求。3.如权利要求2所述的方法,其特征在于,对所述实时流量数据进行识别以提取所述漏洞扫描请求,包括:通过所述实时流量数据的目的端口和特征码进行识别;在识别出漏洞扫描请求后,记录所述漏洞请求的会话信息。4.如权利要求3所述的方法,其特征在于,获取所述漏洞扫描请求的响应数据,包括:根据所述会话信息提取所述响应数据。5.如权利要求1所述的方法,其特征在于,按照预设策略对所述响应数据进行替换,生成替换数据,包括:提取所述响应数据的应用类型;根据所述应用类型对所述响应数据进行解析;由解析结果中提取版本指纹;根据所述版本指纹对所述响应数据进行替换,生成所述替换数据。6.如权利要求5所述的方法,其特征在于,根据所述版本指纹对所述响应数据...
【专利技术属性】
技术研发人员:叶倩,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。