识别漏洞扫描行为的方法和装置与流程

1.本公开涉及网络安全领域，特别涉及一种识别漏洞扫描行为的方法和装置。


背景技术：

2.随着国家网络空间安全战略和相关法律法规的贯彻执行，非授权的安全检测/攻击行为普遍存在。其中的漏洞扫描行为会触发安全检测/防护系统的大量告警日志，且难以与其它人工检测/攻击行为区分。


技术实现要素：

3.本公开实施例所要解决的一个技术问题是：识别漏洞扫描行为。
4.本公开实施例，从告警日志中获取其中一个攻击ip地址的告警信息，根据攻击ip地址的告警信息，计算第一维度信息，包括攻击ip地址使用的同种攻击方法的告警次数的均匀程度以及持续性，并计算第二维度信息，包括攻击ip地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性，基于第一维度信息或第二维度信息中的一项或多项，识别攻击ip地址相应的行为是否为漏洞扫描行为。
5.本公开一些实施例提出一种识别漏洞扫描行为的方法，包括：
6.从告警日志中获取其中一个攻击ip地址的告警信息；
7.根据所述攻击ip地址的告警信息，计算第一维度信息，包括所述攻击ip地址使用的同种攻击方法的告警次数的均匀程度以及持续性；
8.根据所述攻击ip地址的告警信息，计算第二维度信息，包括所述攻击ip地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性；
9.根据所述第一维度信息或所述第二维度信息中的一项或多项，识别所述攻击ip地址相应的行为是否为漏洞扫描行为。
10.在一些实施例中，计算第一维度信息包括：
11.从攻击ip地址x的告警信息中，获取所述攻击ip地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数a
x,i,t
，其中，识别漏洞扫描的时间窗口t包括多个子时间窗口t；
12.计算所述攻击ip地址x使用的第i种攻击方法的告警次数的均匀程度以及持续性
13.根据计算所述攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性。
14.在一些实施例中，计算所述攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性包括：
15.根据计算时间窗口t内所述攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性d
t,1
。
16.在一些实施例中，计算第二维度信息包括：
17.从攻击ip地址x的告警信息中，获取所述攻击ip地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数a
x,i,t
，其中，识别漏洞扫描的时间窗口t包括多个子时间窗口t；
18.计算
19.根据计算所述攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性。
20.在一些实施例中，计算所述攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性包括：
21.根据计算时间窗口t内所述攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性d
t,2
。
22.在一些实施例中，识别所述攻击ip地址相应的行为是否为漏洞扫描行为包括：
23.如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值，识别所述攻击ip地址相应的行为是漏洞扫描行为；
24.如果所述第一维度信息和所述第二维度信息均不大于预设阈值，识别所述攻击ip地址相应的行为是非漏洞扫描行为。
25.在一些实施例中，识别所述攻击ip地址相应的行为是否为漏洞扫描行为包括：
26.在一个识别漏洞扫描的时间窗口t内，如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值，将所述攻击ip地址相应的行为判定为在时间窗口t内呈现漏洞扫描行为的显性状态，否则，将所述攻击ip地址相应的行为判定为在时间窗口t内呈现漏洞扫描行为的隐性状态；
27.根据展示窗口w包括的多个时间窗口t相应的漏洞扫描行为的判定状态，识别所述攻击ip地址相应的行为是否为漏洞扫描行为。
28.在一些实施例中，识别所述攻击ip地址相应的行为是否为漏洞扫描行为包括：
29.根据展示窗口w包括的多个时间窗口t相应的漏洞扫描行为的判定状态的众数或变化趋势，识别所述攻击ip地址相应的行为是否为漏洞扫描行为。
30.在一些实施例中，所述方法还包括：检测攻击ip地址发送的http请求头信息中是否含有预设的漏洞扫描的指纹信息，如果含有，识别所述攻击ip地址相应的行为是漏洞扫描行为。
31.在一些实施例中，所述方法还包括：给攻击ip地址的http响应头信息中注入一个cookie值；检测所述攻击ip地址以后的访问中所述cookie值是否还存在且不变，如果还存在且不变，识别所述攻击ip地址相应的行为是漏洞扫描行为。
32.在一些实施例中，所述方法还包括：给攻击ip地址的http响应头信息中注入程序代码；检测所述攻击ip地址以后的访问中所述程序代码是否被执行，如果未被执行，识别所述攻击ip地址相应的行为是漏洞扫描行为。
33.本公开一些实施例提出一种识别漏洞扫描行为的装置，包括：
34.存储器；以及
35.耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行识别漏洞扫描行为的方法。
36.本公开一些实施例提出一种非瞬时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现识别漏洞扫描行为的方法的步骤。
附图说明
37.下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述，可以更加清楚地理解本公开。
38.显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
39.图1示出本公开一些实施例的识别漏洞扫描行为的方法的流程示意图。
40.图2示出本公开另一些实施例的识别漏洞扫描行为的方法的流程示意图。
41.图3示出本公开一些实施例的识别漏洞扫描行为的装置的流程示意图。
具体实施方式
42.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述。
43.除非特别说明，否则，本公开中的“第一”“第二”等描述用来区分不同的对象，并不用来表示大小或时序等含义。
44.发明人发现，漏洞扫描工具的目的和通常使用方法，是准确地执行各类已知全量测试项，自动执行有限次的扫描尝试，以快速地得到结果；而人工介入较多的交互型检测/攻击行为，相对漏洞扫描行为来说，使用少量上述漏洞扫描的结果作为攻击面，人为执行随机次数地较慢速地针对性测试。基于这些发现，提出本公开的基于告警日志统计实现的漏洞扫描行为识别方案。
45.图1示出本公开一些实施例的识别漏洞扫描行为的方法的流程示意图。
46.如图1所示，该实施例的方法包括：步骤110-140。
47.在步骤110，从告警日志中获取其中一个攻击ip地址的告警信息。
48.告警日志中记录了触发告警日志的时间、攻击ip地址、使用的攻击方法等告警信息。从告警日志中可以将某个待分析的攻击ip地址的告警信息提取出来。
49.在步骤120，根据攻击ip地址的告警信息，计算第一维度信息，包括攻击ip地址使用的同种攻击方法的告警次数的均匀程度以及持续性。
50.在一些实施例中，计算攻击ip地址使用的同种攻击方法的告警次数的均匀程度以及持续性包括：从攻击ip地址x的告警信息中，获取攻击ip地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数a
x,i,t
，其中，识别漏洞扫描的时间窗口t包括
多个子时间窗口t；计算攻击ip地址x使用的第i种攻击方法的告警次数的均匀程度以及持续性根据计算攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性，例如，根据计算时间窗口t内攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性d
t,1
。前述d
t,1
计算公式所计算的d
t,1
范围在0～1之间。但是，d
t,1
并不局限于前述公式，例如，其中的1可以替换为替他常数。
51.根据前述发现人发现的漏洞扫描行为的特点，第一维度信息(即，攻击ip地址使用的同种攻击方法的告警次数的均匀程度以及持续性)越高，攻击ip地址相应的行为是漏洞扫描行为的概率越大。
52.在步骤130，根据攻击ip地址的告警信息，计算第二维度信息，包括攻击ip地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性。
53.在一些实施例中，计算攻击ip地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性包括：从攻击ip地址x的告警信息中，获取攻击ip地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数x
x,i,t
，其中，识别漏洞扫描的时间窗口t包括多个子时间窗口t；计算根据计算攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性，例如，根据样性，例如，根据计算时间窗口t内攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性d
t,2
。前述d
t,2
计算公式所计算的d
t,2
范围在0～1之间。但是，d
t,2
并不局限于前述公式，例如，其中的1可以替换为替他常数。
54.根据前述发现人发现的漏洞扫描行为的特点，第二维度信息(即，攻击ip地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性)越高，攻击ip地址相应的行为是漏洞扫描行为的概率越大。
55.在步骤140，根据第一维度信息或第二维度信息中的一项或多项，识别攻击ip地址相应的行为是否为漏洞扫描行为。
56.上述实施例从告警日志中获取其中一个攻击ip地址的告警信息，根据攻击ip地址的告警信息，计算第一维度信息，包括攻击ip地址使用的同种攻击方法的告警次数的均匀程度以及持续性，并计算第二维度信息，包括攻击ip地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性，基于第一维度信息或第二维度信息中的一项或多项，识别攻击ip地址相应的行为是否为漏洞扫描行为。
57.在一些实施例中，识别攻击ip地址相应的行为是否为漏洞扫描行为包括：如果第一维度信息或第二维度信息中任意一项大于预设阈值，识别攻击ip地址相应的行为是漏洞扫描行为；如果第一维度信息和第二维度信息均不大于预设阈值，识别攻击ip地址相应的行为是非漏洞扫描行为。
58.进一步的，如果第一维度信息和第二维度信息均大于预设阈值，代表在时间窗口t内攻击ip地址相应的行为是持续均匀的漏洞扫描攻击；
59.如果第一维度信息大于预设阈值、第二维度信息不大于预设阈值，代表在时间窗口t内攻击ip地址相应的行为是持续均匀的暴力破解/弱口令类漏洞扫描攻击；
60.如果第一维度信息不大于预设阈值、第二维度信息大于预设阈值，代表在时间窗口t内攻击ip地址相应的行为是无规律的漏洞扫描攻击；
61.如果第一维度信息和第二维度信息均不大于预设阈值，代表在时间窗口t内攻击ip地址相应的行为是非漏洞扫描行为。
62.从而，通过两个维度综合地识别攻击ip地址相应的行为是否为漏洞扫描行为，可以提高识别地准确性。
63.在另一些实施例中，识别攻击ip地址相应的行为是否为漏洞扫描行为包括：在一个识别漏洞扫描的时间窗口t内，如果第一维度信息或第二维度信息中任意一项大于预设阈值，将攻击ip地址相应的行为判定为在时间窗口t内呈现漏洞扫描行为的显性状态，否则，如果第一维度信息和第二维度信息均不大于预设阈值，将攻击ip地址相应的行为判定为在时间窗口t内呈现漏洞扫描行为的隐性状态；根据展示窗口w包括的多个时间窗口t相应的漏洞扫描行为的判定状态，综合地识别攻击ip地址相应的行为是否为漏洞扫描行为，可以进一步提高识别地准确性。
64.如果d
t,1
显性和d
t,2
显性：代表在时间窗口t内是持续均匀的漏洞扫描攻击；
65.如果d
t,1
显性和d
t,2
隐性：代表在时间窗口t内是持续均匀的暴力破解/弱口令类漏洞扫描攻击；
66.如果d
t,1
隐性和d
t,2
显性：代表在时间窗口t内是无规律的漏洞扫描攻击；
67.如果d
t,1
隐性和d
t,2
隐性：代表在时间窗口t内没有漏洞扫描攻击。
68.其中，根据展示窗口w包括的多个时间窗口t相应的漏洞扫描行为的判定状态的众数，识别攻击ip地址相应的行为是否为漏洞扫描行为。
69.例如，针对展示窗口w中的所有时间窗口t，如果较多的时间窗口t相应的漏洞扫描行为是显性状态，识别攻击ip地址相应的行为是漏洞扫描行为；如果较多的时间窗口t相应的漏洞扫描行为是隐性状态，识别攻击ip地址相应的行为不是漏洞扫描行为。但不限于所举示例。
70.其中，根据展示窗口w包括的多个时间窗口t相应的漏洞扫描行为的判定状态的变化趋势，识别攻击ip地址相应的行为是否为漏洞扫描行为。
71.例如，针对展示窗口w中的所有时间窗口t，如果各个时间窗口t相应的漏洞扫描行为稳定地呈现显性状态，识别攻击ip地址相应的行为是漏洞扫描行为；如果各个时间窗口t相应的漏洞扫描行为稳定地呈现隐性状态，识别攻击ip地址相应的行为不是漏洞扫描行为；如果各个时间窗口t相应的漏洞扫描行为的判定状态呈现波动，但最终趋于显性状态，识别攻击ip地址相应的行为是漏洞扫描行为；如果各个时间窗口t相应的漏洞扫描行为的判定状态呈现波动，但最终趋于隐性状态，识别攻击ip地址相应的行为不是漏洞扫描行为。但不限于所举示例。
72.在一些实施例中，时间窗口t例如设置为5分钟，子时间窗口t例如设置为1分钟，展示窗口w例如设置为1小时。但不限于所举示例。
73.在一些实施例中，预设阈值例如设置为0.6。但不限于所举示例。
74.图2示出本公开另一些实施例的识别漏洞扫描行为的方法的流程示意图。
75.如图2所示，该实施例的方法除了包括步骤110-140之外，还可以包括步骤210-230中的一个或多个。
76.在步骤210，基于网络流量，检测攻击ip地址发送的http请求头信息中是否含有预设的漏洞扫描的指纹信息；如果含有，识别攻击ip地址相应的行为是漏洞扫描行为；如果不含有，执行步骤110-140进一步识别，或者，执行步骤220-230中的一个或多个之后，再执行步骤110-140进一步识别。
77.在步骤220，基于网络流量，给攻击ip地址的http响应头信息中注入一个cookie值(一种计算机文件)，检测攻击ip地址以后的访问中cookie值是否还存在且不变；如果还存在且不变，识别攻击ip地址相应的行为是漏洞扫描行为；如果存在但是变化，执行步骤110-140进一步识别，或者，执行步骤230之后，再执行步骤110-140进一步识别。
78.在步骤230，基于网络流量，给攻击ip地址的http响应头信息中注入程序代码(如javascript程序代码)，检测攻击ip地址以后的访问中程序代码是否被执行；如果未被执行，识别攻击ip地址相应的行为是漏洞扫描行为；如果被执行，执行步骤110-140进一步识别。
79.在基于告警日志统计实现的漏洞扫描行为识别方案的基础上，结合指纹识别、cookie识别、程序代码识别等识别方案，提高识别的准确性和识别效率。
80.图3示出本公开一些实施例的识别漏洞扫描行为的装置的流程示意图。
81.如图3所示，识别漏洞扫描行为的装置300包括：存储器310以及耦接至该存储器310的处理器320，处理器320被配置为基于存储在存储器310中的指令，执行前述任意一些实施例中的识别漏洞扫描行为的方法。
82.其中，存储器310例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(boot loader)以及其他程序等。
83.装置300还可以包括输入输出接口330、网络接口340、存储接口350等。这些接口330，340，350以及存储器310和处理器320之间例如可以通过总线360连接。其中，输入输出接口330为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口340为各种联网设备提供连接接口。存储接口350为sd卡、u盘等外置存储设备提供连接接口。
84.本公开实施例还提出一种非瞬时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现任一个实施例的识别漏洞扫描行为的方法的步骤。
85.本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
86.本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以
产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
87.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
88.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
89.以上所述仅为本公开的较佳实施例，并不用以限制本公开，凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

技术特征：
1.一种识别漏洞扫描行为的方法，其特征在于，包括：从告警日志中获取其中一个攻击ip地址的告警信息；根据所述攻击ip地址的告警信息，计算第一维度信息，包括所述攻击ip地址使用的同种攻击方法的告警次数的均匀程度以及持续性；根据所述攻击ip地址的告警信息，计算第二维度信息，包括所述攻击ip地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性；根据所述第一维度信息或所述第二维度信息中的一项或多项，识别所述攻击ip地址相应的行为是否为漏洞扫描行为。2.根据权利要求1所述的方法，其特征在于，计算第一维度信息包括：从攻击ip地址x的告警信息中，获取所述攻击ip地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数a
x,i,t
，其中，识别漏洞扫描的时间窗口t包括多个子时间窗口t；计算所述攻击ip地址x使用的第i种攻击方法的告警次数的均匀程度以及持续性根据计算所述攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性。3.根据权利要求2所述的方法，其特征在于，计算所述攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性包括：根据计算时间窗口t内所述攻击ip地址x使用的同种攻击方法的告警次数的均匀程度以及持续性d
t,1
。4.根据权利要求1所述的方法，其特征在于，计算第二维度信息包括：从攻击ip地址x的告警信息中，获取所述攻击ip地址x使用的y种攻击方法中的第i种攻击方法在一个子时间窗口t内的告警次数a
x,i,t
，其中，识别漏洞扫描的时间窗口t包括多个子时间窗口t；计算根据计算所述攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性。5.根据权利要求4所述的方法，其特征在于，计算所述攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性包括：根据计算时间窗口t内所述攻击ip地址x使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性d
t,2
。6.根据权利要求1所述的方法，其特征在于，识别所述攻击ip地址相应的行为是否为漏
洞扫描行为包括：如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值，识别所述攻击ip地址相应的行为是漏洞扫描行为；如果所述第一维度信息和所述第二维度信息均不大于预设阈值，识别所述攻击ip地址相应的行为是非漏洞扫描行为。7.根据权利要求1所述的方法，其特征在于，识别所述攻击ip地址相应的行为是否为漏洞扫描行为包括：在一个识别漏洞扫描的时间窗口t内，如果所述第一维度信息或所述第二维度信息中任意一项大于预设阈值，将所述攻击ip地址相应的行为判定为在时间窗口t内呈现漏洞扫描行为的显性状态，否则，将所述攻击ip地址相应的行为判定为在时间窗口t内呈现漏洞扫描行为的隐性状态；根据展示窗口w包括的多个时间窗口t相应的漏洞扫描行为的判定状态，识别所述攻击ip地址相应的行为是否为漏洞扫描行为。8.根据权利要求7所述的方法，其特征在于，识别所述攻击ip地址相应的行为是否为漏洞扫描行为包括：根据展示窗口w包括的多个时间窗口t相应的漏洞扫描行为的判定状态的众数或变化趋势，识别所述攻击ip地址相应的行为是否为漏洞扫描行为。9.根据权利要求1所述的方法，其特征在于，还包括：检测攻击ip地址发送的http请求头信息中是否含有预设的漏洞扫描的指纹信息，如果含有，识别所述攻击ip地址相应的行为是漏洞扫描行为；或者，给攻击ip地址的http响应头信息中注入一个cookie值；检测所述攻击ip地址以后的访问中所述cookie值是否还存在且不变，如果还存在且不变，识别所述攻击ip地址相应的行为是漏洞扫描行为；或者，给攻击ip地址的http响应头信息中注入程序代码；检测所述攻击ip地址以后的访问中所述程序代码是否被执行，如果未被执行，识别所述攻击ip地址相应的行为是漏洞扫描行为。10.一种识别漏洞扫描行为的装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行权利要求1-9中任一项所述的识别漏洞扫描行为的方法。11.一种非瞬时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现权利要求1-9中任一项所述的识别漏洞扫描行为的方法的步骤。

技术总结
本公开提出一种识别漏洞扫描行为的方法和装置，涉及网络安全领域。从告警日志中获取其中一个攻击IP地址的告警信息，根据攻击IP地址的告警信息，计算第一维度信息，包括攻击IP地址使用的同种攻击方法的告警次数的均匀程度以及持续性，并计算第二维度信息，包括攻击IP地址使用的不同种攻击方法之间的告警次数的相似程度以及攻击方法种类的多样性，基于第一维度信息或第二维度信息中的一项或多项，识别攻击IP地址相应的行为是否为漏洞扫描行为。别攻击IP地址相应的行为是否为漏洞扫描行为。别攻击IP地址相应的行为是否为漏洞扫描行为。


技术研发人员：马浩翔 陆晨晖 靳玮炜 秦博
受保护的技术使用者：中国电信股份有限公司
技术研发日：2020.11.23
技术公布日：2022/5/25