[发明专利]一种基于行为识别的扫描类攻击处置方法

说明书

本发明涉及一种基于行为识别的扫描类攻击处置方法，统计t时间内所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c，若满足告警规则且存在任一IP触发拦截机制，则对此IP进行扫描IP威胁情报库匹配，无匹配项时对当前IP直接拦截时间T并将当前IP及关联信息更新至扫描IP威胁情报库，当有匹配项时，查询扫描IP威胁情报库中当前IP上一次被拦截的时间T_n，以其平方值对当前IP进行拦截，更新数据。本发明采用行为识别的算法匹配扫描行为，准确率高，参考异常访问频次a、错误状态码触发频次b和攻击行为频次c的数据，出现误报的概率低，在可控时间内完成扫描行为的识别和拦截，识别速度快。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种误报率和漏报率都较低的基于行为识别的扫描类攻击处置方法。

背景技术

网络技术的应用已深刻影响、改变了人们的生产方式和生活方式，推动了社会各个方面的进步与发展，并在国民经济各个领域起着重要的推动和支撑作用。随着网络化程度的加深，黑客为了牟取利益，对于互联网的攻击也逐渐升级。

现有技术中，黑客在攻击互联网网站时，一般会先使用自动化扫描工具对目标服务器进行探测和踩点，以获取对实施攻击有价值的漏洞和信息，为下一步实施攻击做好准备，通过自动化工具攻击使得攻击成本变低；同时，国内众多监管机构也对互联网网站进行监测与检查，以发现网站服务器漏洞，通过数据分析扫描攻击占整体攻击的比例为90%，因此对扫描类攻击需要有效防护。

专利号为201210313458.3的发明公开了一种判定自动扫描行为的方法及装置专利，该方法包括：在设定周期内，采集选定发送端向选定网站服务器发送的访问请求消息和选定网站服务器向选定发送端返回的访问响应消息；将设定周期等分为至少两个设定子周期，依次统计每个设定子周期内访问请求消息的个数，确定选定发送端的请求可信值；统计采集的访问响应消息中成功响应消息的个数和失败响应消息的个数，确定选定发送端的响应可信值；根据确定的请求可信值、响应可信值、第一权重和第二权重，计算在设定周期内选定发送端的综合评估值；将综合评估值与第一设定阈值进行比较，判定选定发送端是否发生了自动扫描行为。

然而，这篇专利中只判断了请求消息和响应消息的统计，并没有说明其具体比例，除此之外，技术方案中也没有对访问文件中缺少图片和样式文件的访问判断和访问攻击的比例进行判断，当采用对一定时间内发起请求的频率进行识别时，极容易造成扫描类攻击的误报及漏报。误报，指对于某些出口IP访问量比较大的会误拦截，而漏报，指当攻击者将频率调低后将无法识别。

发明内容

为了解决现有技术中，对于扫描类攻击的误报率和漏报率较高的问题，本发明提供一种优化的基于行为识别的扫描类攻击处置方法。

本发明所采用的技术方案是，一种基于行为识别的扫描类攻击处置方法，所述方法包括以下步骤：

步骤1：统计t时间内，所有IP针对任一网页的异常访问频次a、错误状态码触发频次b和攻击行为频次c；0＜t≤2min；

步骤2：若连续t时间内异常访问频次a、错误状态码触发频次b或攻击行为频次c满足告警规则，告警；

步骤3：当存在任一IP触发拦截机制，进行下一步，否则，返回步骤1；