[发明专利]识别扫描器的方法及设备

说明书

本申请的目的是提供一种识别扫描器的方案，用以解决现有技术中不具备普遍性、易发生误报的问题，该方案在识别到来自用户设备的攻击请求时，触发拦截事件，并向所述用户设备发送错误提示页面，在所述错误提示页面中增加了一个与所述攻击请求相关的埋点，这一埋点无法由扫描器触发，而能够被正常用户触发，由此根据用户设备在发送攻击请求后触发埋点的不同情况，判断该用户设备是否为扫描器进行判断。由于本方案不利用特定扫描器的指纹特征，应用场景的普遍性高，并且即使出现误拦截，正常用户也可以通过触发埋点避免发生误报。

技术领域

本申请涉及信息技术领域，尤其涉及一种识别扫描器的方案。

背景技术

随着公有云技术的发展，部署基于HTTP(HyperText Transfer Protocol，超文本传输协议)的网页(Web)应用日益普遍，Web层面的攻击越来越多，如XSS(Cross SiteScriptin，跨站脚本攻击)、SQL(Structured Query Language，结构化查询语言)注入等，同时Web应用系统及依赖的基础软件，出现的漏洞也是层出不穷。

由于公共云环境的开放性特点，漏洞若没有被及时修复，就能够很快被黑客发现并利用，带来很大安全风险。黑客经常使用扫描器，并基于常见的已知或未知的漏洞特征，进行大范围的攻击性访问请求，然后根据Web应用返回结果判断是否存在可被利用的漏洞。

目前Web应用的常用安全产品是WAF(Web Application Firewall，网页应用防火墙)，而黑客通常在发起攻击前，往往采用扫描器(如WVS、AppScan、WebInspect等)进行尝试扫描，探测WAF防护策略，再有针对性的发起攻击。

对于大部分网站，来自扫描器的访问请求量都很多。若WAF能够识别出来自扫描器的请求并拦截，将减少WAF检测流量，降低WAF性能消耗。目前常用的识别扫描器的方法有两种：指纹识别和频率统计。

指纹识别是指安全人员对于常见的扫描器，收集指纹特征，然后加以识别。比如WVS，其请求头包含名为Acunetix-Aspect、Acunetix-Aspect-Password、Acunetix-Aspect-Queries键值对，URL(Uniform Resource Locator，统一资源定位符)中也包含acunetix_wvs_security_test特征值。在收到请求时，对这些特征进行检测，可以确定请求是否来自于扫描器。但是上述方式，主要依赖于安全人员的经验，需要了解大多数的扫描器，并且需要收集足够的扫描器访问日志，来分析提取特征，不具备普遍性。

频率统计是指根据IP(Internet Protocol，网间互联协议)地址或Cookie(浏览器缓存)，在某个时间被WAF拦截的次数，若超过设置的阈值，则识别为扫描器器，进行拦截。或者统计单个IP地址在单位时间内，访问请求的响应状态码(HTTP Response Status)为404的占比，若超过阈值，则识别为扫描器。本方案的缺点在于，一旦WAF的拦截规则出现误拦截，将会把正常用户识别为扫描器，容易发生误报的情况。

申请内容

本申请的一个目的是提供一种识别扫描器的方案，用以解决现有技术中不具备普遍性、易发生误报的问题。

为实现上述目的，本申请提供了一种识别扫描器的方法，所述方法包括：

在识别到来自用户设备的攻击请求时，触发拦截事件，并向所述用户设备发送错误提示页面，其中，所述错误提示页面包含关于所述拦截事件的埋点，所述埋点无法由扫描器触发；

根据所述用户设备触发所述埋点的情况，确定所述用户设备为扫描器。

在一种实施方式中，根据所述用户设备触发所述埋点的情况，确定所述用户设备为扫描器，包括：