CN114650158A - 一种http检测方法、***、设备及计算机存储介质 - Google Patents

一种http检测方法、***、设备及计算机存储介质 Download PDF

Info

Publication number
CN114650158A
CN114650158A CN202011519748.4A CN202011519748A CN114650158A CN 114650158 A CN114650158 A CN 114650158A CN 202011519748 A CN202011519748 A CN 202011519748A CN 114650158 A CN114650158 A CN 114650158A
Authority
CN
China
Prior art keywords
url
score
preset
rule
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011519748.4A
Other languages
English (en)
Inventor
陈扬
雷昕
李晓燕
闫凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202011519748.4A priority Critical patent/CN114650158A/zh
Publication of CN114650158A publication Critical patent/CN114650158A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种HTTP检测方法、***、设备及计算机存储介质,获取待检测设备中的待检测URL;从至少一条待检测URL中提取目标规则,目标规则满足预设规则;基于预设规则中每个规则的预设分数,计算目标规则的目标分数;基于目标分数确定待检测URL的安全性检测结果;其中,预设规则的类型包括:下载时间在预设时间段之外、直接请求IP域下载、目的IP匹配恶意IP库、目的IP匹配海外IP、非预设HTTP端口下载、下载的数据长度不在预设长度范围内、域名随机、文件名随机、访问周期按倍数变化、访问周期按固定分钟变化、HFS服务器下载、下载文件内容与后缀名不匹配、访问周期按等差变化。提高了HTTP的检测准确性。

Description

一种HTTP检测方法、***、设备及计算机存储介质
技术领域
本申请涉及信息安全技术领域,更具体地说,涉及一种HTTP检测方法、***、设备及计算机存储介质。
背景技术
HTTP(Hypertext Transfer Protocol,超文本传输协议)是一个简单的请求-响应协议,HTTP通常运行在TCP(Transmission Control Protocol,传输控制协议)之上,HTTP指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。因为HTTP可以使得开发和部署直截了当,所以在通信中被广泛应用。
然而,在HTTP的应用过程中,可能出现攻击者借助HTTP来攻击其他设备的情况,比如攻击客户端、攻击服务器等,为HTTP的安全使用带来威胁。为了保护HTTP的安全,可以对HTTP对应的URL(Uniform Resource Locator,统一资源定位符)进行检测,确定URL的安全与否,进而确定HTTP的安全与否。
然而,在对URL进行检测的过程中,会出现检测出的安全性结果与URL的真实安全性不匹配的情况,影响HTTP检测的准确性。
综上所述,如何提高HTTP检测的准确性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种HTTP检测方法,其能在一定程度上解决如何提高HTTP检测的准确性的技术问题。本申请还提供了一种HTTP检测***、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种HTTP检测方法,包括:
获取至少一条待检测URL;
从所述至少一条待检测URL中提取目标规则,其中所述目标规则满足预设规则;
基于所述预设规则中每个规则的预设分数,计算所述目标规则的目标分数;
基于所述目标分数确定所述待检测URL的安全性检测结果;
其中,所述预设规则的类型包括:下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化。
优选的,所述预设规则包括第一类规则、第二类规则及第三类规则,所述第一类规则包括所述下载URL对应资源的时间在预设时间段之外、所述直接请求IP域下载URL对应的资源、所述URL的目的IP匹配恶意IP库、所述URL的目的IP匹配海外IP、所述通过RUL对应资源服务器的非预设HTTP端口下载;所述第二类规则包括所述下载的URL对应资源的数据长度不在预设长度范围内、所述URL的域名随机、所述URL对应资源的文件名随机、所述访问URL对应资源的周期按倍数变化、所述访问URL对应资源的周期按固定分钟变化;所述第三类规则包括所述URL对应资源通过HFS服务器下载、所述下载的URL对应资源的文件内容与后缀名不匹配、所述访问URL对应资源的周期按等差变化;
所述预设规则中每个规则的预设分数包括:所述第一类规则中每个规则的预设分数为第一分数值;所述第二类规则中每个规则的预设分数为第二分数值;所述第三类规则中每个规则的预设分数为第三分数值;且所述第三分数值大于所述第二分数值,所述第二分数值大于所述第一分数值。
优选的,所述基于所述预设规则中每个规则的预设分数,计算所述目标规则的目标分数,包括:
确定出属于所述第一类规则的所述目标规则的第一数量值;
确定出属于所述第二类规则的所述目标规则的第二数量值;
确定出属于所述第三类规则的所述目标规则的第三数量值;
将所述第一数量值与所述第一分数值的乘积值、所述第二数量值与所述第二分数值的乘积值、所述第三数量值与所述第三分数值的乘积值的和值作为所述目标分数。
优选的,所述基于所述目标分数确定所述待检测URL的安全性检测结果,包括:
若所述目标分数在第一分数范围内,则确定出表征所述待检测URL的危险等级为第一危险等级的所述安全性检测结果;
若所述目标分数在第二分数范围内,则确定出表征所述待检测URL的危险等级为第二危险等级的所述安全性检测结果;
若所述目标分数在第三分数范围内,则确定出表征所述待检测URL的危险等级为第三危险等级的所述安全性检测结果;
其中,所述第三分数范围的最小分数值大于所述第二分数范围的最大分数值,所述第二分数范围的最小分数值大于所述第一分数范围的最大分数值;且所述第三危险等级的危险性高于所述第二危险等级,所述第二危险等级的危险性高于所述第一危险等级。
优选的,所述第三分数值为1,所述第二分数值为0.5,所述第三分数值为0.25;
所述第一分数范围为(1,1.5),所述第二分数范围为(1.5,2),所述第三分数范围为(2,∞)。
优选的,所述基于所述目标分数确定所述待检测URL的安全性检测结果之后,还包括:
若所述安全性检测结果为所述第三危险等级,生成安全事件。
优选的,所述待检测URL位于待检测设备,所述方法还包括:
统计所述待检测设备中所述安全性检测结果为所述第三危险等级的所述待检测URL的数量值;
判断所述数量值是否大于预设数量;
若所述数量值大于所述预设数量,则将所述待检测设备标记为失陷设备。
一种HTTP检测***,包括:
获取模块,用于获取待检测URL;
提取模块,用于在预设规则中,对所述待检测URL满足的所述预设规则进行提取,得到目标规则;
计算模块,用于基于所述预设规则中每个规则的预设分数,计算所述目标规则的目标分数;
确定模块,用于基于所述目标分数确定所述待检测URL的安全性检测结果;
其中,所述预设规则的类型包括:下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化。
一种HTTP检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述HTTP检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述HTTP检测方法的步骤。
本申请提供的一种HTTP检测方法,在预设规则中,对待检测URL满足的预设规则进行提取,得到目标规则,实现了按照预设规则对待检测URL进行分析、筛选的目的,由于预设规则的类型多且每个规则均可以反映URL的一部分安全性,所以目标规则能够综合反映待检测URL的安全性;由于每个规则所反映的URL的安全性的力度不同,所以后续需基于预设规则中每个规则的预设分数,计算目标规则的目标分数,基于目标分数确定待检测URL的安全性检测结果,使得可以借助预设规则准确评价待检测URL的安全性,进而准确评价HTTP的安全性,提高了HTTP的检测准确性。本申请提供的一种HTTP检测***、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种HTTP检测方法的第一流程图;
图2为本申请实施例提供的一种HTTP检测***的结构示意图;
图3为本申请实施例提供的一种HTTP检测设备的结构示意图;
图4为本申请实施例提供的一种HTTP检测设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种HTTP检测方法的第一流程图。
本申请实施例提供的一种HTTP检测方法,可以包括:
步骤S101:获取待检测设备中的待检测URL。
实际应用中,可以先获取待检测设备中的待检测URL,待检测设备指的是安全性未知、需要检测的设备,比如待检测服务器、待检测客户端等,待检测URL指的是待检测设备上安全性未知、需要检测的URL。
具体应用场景中,可以直接由本申请中HTTP检测方法的执行主体来实时采集待检测设备中的待检测URL等,也可以先获取待检测设备中的HTTP日志,再在HTTP日志中解析出待检测URL等;且获取的待检测URL可以为多条。
步骤S102:从至少一条待检测URL中提取目标规则,其中,目标规则满足预设规则。
实际应用中,在获取待检测设备中的待检测URL之后,便可以在预设规则中,对至少一条待检测URL满足的预设规则进行提取,得到目标规则;预设规则指的是反映URL的安全性的规则,且预设规则中的每个规则反映URL的一部分安全性,而目标规则为待检测URL在预设规则中满足的规则,所以目标规则可以反映待检测URL的安全性。
应当指出,在预设规则中,对待检测URL满足的预设规则进行提取,得到目标规则的过程,相当于将待检测URL满足的能够反映URL安全性的规则给统一提取出来,所以后续根据目标规则对待检测ULR进行安全性检测的过程中,相当于综合待检测URL满足的能够反映URL安全性的规则来对待检测URL进行安全性分析,能够保证待检测URL的安全性分析准确性。
步骤S103:基于预设规则中每个规则的预设分数,计算目标规则的目标分数。
步骤S104:基于目标分数确定待检测URL的安全性检测结果;其中,预设规则的类型包括:下载URL对应资源的时间在预设时间段之外、直接请求IP(Internet Protocol,国际互联协议)域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS(Hierarchical FileSystem)服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化。
实际应用中,由于预设规则中的各个规则反映URL安全性的力度不同,比如有的规则反映URL的安全性较低,有的规则反映URL的安全性较高,所以可以灵活根据各个规则所反映URL安全性的力度来对目标规则所反映的待检测URL的安全性进行检测,比如可以基于预设规则中每个规则的预设分数,计算目标规则的目标分数,再基于目标分数确定待检测URL的安全性检测结果。
具体应用场景中,在基于预设规则中每个规则的预设分数,计算目标规则的目标分数的过程中,可以将目标规则中所有规则的预设分数之和作为目标分数,也可以将目标规则中所有规则的预设分数的平均分作为目标分数等,当然,也可以有其他计算目标规则的目标分数的方法,本申请在此不做限定。
应当指出,预设规则中每个规则的预设分数可以由该规则所反映URL安全性的力度决定,比如反映URL安全性较高的规则的预设分数较低,反映URL安全性较低的规则的预设分数较高,那么,在基于目标分数确定待检测URL的安全性检测结果时,如果目标分数越高,则可以判定待检测URL的安全性越低,目标分数越低,则可以判定待检测URL的安全性越高;相应的,若反映URL安全性较高的规则的预设分数较高,反映URL安全性较低的规则的预设分数较低,那么,在基于目标分数确定待检测URL的安全性检测结果时,如果目标分数越高,则可以判定待检测URL的安全性越高,目标分数越低,则可以判定待检测URL的安全性越低。
此外,应当指出,当URL满足下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化等规则时,表明URL可能是危险URL,所以本申请中将预设规则的类型设置为下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应资源的、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化,当然,还可以根据需要在预设规则中设置相应规则,本申请在此不做限定。
再者,应当指出,当判断待检测URL是否满足下载URL对应资源的时间在预设时间段之外时,需要获取待检测设备通过待检测URL下载对应资源的时间,判断下载对应资源的时间是否在预设时间段之外,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足直接请求IP域下载URL对应的资源时,需要判断待检测URL的下载地址是否直接是IP地址,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足URL的目的IP匹配恶意IP库时,需确定待检测URL的目的IP,也即待检测URL对应资源服务器的IP,判断目的IP是否属于恶意IP库,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足URL的目的IP匹配海外IP时,需确定待检测URL的目的IP,判断目的IP是否属于海外IP,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足通过URL对应资源服务器的非预设HTTP端口下载时,需获取待检测URL对应资源服务器所提供的HTTP下载端口,判断该HTTP下载端口是否为非预设HTTP下载端口,若是,则判定待检测URL满足该规则,若否,则判定待检测URL不满足该规则,非预设HTTP下载端口可以为非常用HTTP下载端口等;判断待检测URL是否满足下载的URL对应资源的数据长度不在预设长度范围内时,可以获取在待检测URL对应资源服务器下载的对应资源的数据长度,判断该数据长度是否在预设长度范围内,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足URL的域名随机时,可以判断待检测URL的域名是否满足预设域名随机要求,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则,预设域名随机要求可以根据实际需要确定,比如预设域名随机要求可以是域名由无意义的字母随机组成等;判断待检测URL是否满足URL对应资源的文件名随机时,可以确定待检测URL的对应资源,判断待检测URL的对应资源是否满足预设文件名随机要求,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则,预设文件名随机要求可以根据实际需要确定,比如预设文件名随机要求可以是文件名由无意义的字母随机组成等;判断待检测URL是否满足访问URL对应资源的周期按倍数变化时,需获取在预设时长内,待检测设备通过待检测URL在对应资源服务器中访问对应资源的访问时刻,判断该访问时刻是否按倍数变化,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足访问URL对应资源的周期按固定分钟变化时,需获取在预设时长内,待检测设备通过待检测URL在对应资源服务器中访问对应资源的访问时刻,判断该访问时刻是否按固定分钟变化,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足URL对应资源通过HFS服务器下载时,可以判断待检测URL是否携带HFS下载标记,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足此规则;判断待检测URL是否满足下载的URL对应资源的文件内容与后缀名不匹配时,需获取待检测设备通过待检测URL在对应资源服务器中下载的资源文件,判断该资源文件的内容是否与后缀名匹配,若否,则判定待检测URL满足此规则,若是,则判定待检测URL不满足此规则;判断待检测URL是否满足访问URL对应资源的周期按等差变化时,需获取在预设时长内,待检测设备通过待检测URL访问对应资源服务器上的对应资源的访问时刻,判断该访问时刻是否按等差变化,若是,则判定待检测URL满足此规则,若否,则判定待检测URL不满足访问此规则。
本申请提供的一种HTTP检测方法,在预设规则中,对待检测URL满足的预设规则进行提取,得到目标规则,实现了按照预设规则对待检测URL进行分析、筛选的目的,由于预设规则的类型多且每个规则均可以反映URL的一部分安全性,所以目标规则能够综合反映待检测URL的安全性;由于每个规则所反映的URL的安全性的力度不同,所以后续需基于预设规则中每个规则的预设分数,计算目标规则的目标分数,基于目标分数确定待检测URL的安全性检测结果,使得可以借助预设规则准确评价待检测URL的安全性,进而准确评价HTTP的安全性,提高了HTTP的检测准确性。
本申请实施例提供的一种HTTP检测方法中,由于预设规则中的规则反映URL安全性的力度可能相同,所以可以按照规则所反映URL安全性的力度对预设规则中的规则进行分类,根据分类后的规则确定各个规则的预设分数,且根据分类后的规则对待检测URL进行处理,比如预设规则可以包括第一类规则、第二类规则及第三类规则,第一类规则包括下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应资源的、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载;第二类规则包括下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化;第三类规则包括URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化;
相应的,预设规则中每个规则的预设分数包括:第一类规则中每个规则的预设分数为第一分数值;第二类规则中每个规则的预设分数为第二分数值;第三类规则中每个规则的预设分数为第三分数值;且第三分数值大于第二分数值,第二分数值大于第一分数值。
应当指出,由于本申请的技术方案将预设规则分为第一类规则、第二类规则和第三类规则,实现了对预设规则的分类,便于对预设规则的条理化管理,且便于后续对预设规则的使用,能够提高基于预设规则对待检测URL进行检测的效率。
本申请实施例提供的一种HTTP检测方法中,基于预设规则中每个规则的预设分数,计算目标规则的目标分数的过程,可以具体为:确定出属于第一类规则的目标规则的第一数量值;确定出属于第二类规则的目标规则的第二数量值;确定出属于第三类规则的目标规则的第三数量值;将第一数量值与第一分数值的乘积值、第二数量值与第二分数值的乘积值、第三数量值与第三分数值的乘积值的和值作为目标分数。
也即本申请的技术方案中,可以先确定出分别属于第一类规则、第二类规则和第三类规则的目标规则各自的数量,再直接将每类目标规则的数量与该类规则的预设分数的乘积作为目标规则命中该类规则的分数,比如第一数量值与第一分数值的乘积值表示目标规则命中第一类规则的分数,第二数量值与第二分数值的乘积值表示目标规则命中第二类规则的分数,第三数量值与第三分数值的乘积值表示目标规则命中第三类规则的分数,最后将三个乘积值相加,便可以得到目标规则的目标分数,使得获得目标分数的过程简便且条理,能够加快目标分数的获取效率。
本申请实施例提供的一种HTTP检测方法中,为了便于了解待检测URL的危险情况,可以基于目标分数对待检测URL的危险等级进行划分,使得可以根据安全性检测结果获知待检测URL的危险等级,也即基于目标分数确定待检测URL的安全性检测结果的过程,可以具体为:若目标分数在第一分数范围内,则确定出表征待检测URL的危险等级为第一危险等级的安全性检测结果;若目标分数在第二分数范围内,则确定出表征待检测URL的危险等级为第二危险等级的安全性检测结果;若目标分数在第三分数范围内,则确定出表征待检测URL的危险等级为第三危险等级的安全性检测结果;其中,第三分数范围的最小分数值大于第二分数范围的最大分数值,第二分数范围的最小分数值大于第一分数范围的最大分数值;且第三危险等级的危险性高于第二危险等级,第二危险等级的危险性高于第一危险等级。
也即本申请的技术方案中,通过对待检测URL的各级别危险等级对应的分数范围进行划分,使得可以根据目标分数及各级别危险等级对应的分数范围间的关系,确定出待检测URL的危险等级,并得到相应的安全性检测结果,实现了对待检测URL的危险等级的划分,提高了待检测URL的检测准确性,并且使得后续可以直接根据安全性检测结果获知待检测URL的危险等级,提高了待检测URL检测结果的获取效率。
本申请实施例提供的一种HTTP检测方法中,为了提高HTTP检测的准确性,第三分数值可以为1,第二分数值可以为0.5,第三分数值可以为0.25;
第一分数范围可以为(1,1.5),第二分数范围可以为(1.5,2),第三分数范围可以为(2,∞)。
为了便于对本申请提供的各个参数的值的效果进行描述,现按照本申请提供的参数值对服务器等进行检测,检测结果如表1所示。
表1 HTTP检测结果
Figure BDA0002848560820000111
Figure BDA0002848560820000121
在表1中,误报客户端数指的是按照本申请提供的HTTP检测方法进行检测,出现误报的客户端的数量,由表1可知,本申请提供的各个参数值可以使得误报率较低,检测准确性较高。
本申请实施例提供的一种HTTP检测方法中,在基于目标分数确定待检测URL的安全性检测结果之后,还可以将表征第三危险等级的安全性检测结果对应的待检测URL,标记为危险URL;基于危险URL生成安全事件。
也即本申请提供的技术方案中,可以将危险等级最高,也即表征第三危险等级的安全性检测结果对应的待检测URL标记为危险URL,使得后续可以根据该标记识别出危险URL,并基于危险URL生成安全事件,使得后续可以根据该安全事件对危险URL进行追溯。相当于若安全性检测结果为第三危险等级,生成安全事件。
应当指出,安全事件所包含的信息类型可以根据实际需要确定,比如安全事件中可以包括危险URL本身的信息、危险URL对应的目标规则的信息等。
本申请实施例提供的一种HTTP检测方法中,将表征第三危险等级的安全性检测结果对应的待检测URL,标记为危险URL之后,还可以统计待检测设备中安全性检测结果为第三危险等级的待检测URL的数量值;判断数量值是否大于预设数量;若数量值大于预设数量,则将待检测设备标记为失陷设备。
也即本申请提供的技术方案中,可以通过比较待检测设备中危险URL的实时数量与预设数量间的关系,判断待检测设备是否为失陷设备,实现了对待检测设备的安全性判段,便于对待检测设备的安全性进行分析。
应当指出,预设数量的值可以根据实际需要来灵活调整。
请参阅图2,图2为本申请实施例提供的一种HTTP检测***的结构示意图。
本申请实施例提供的一种HTTP检测***,可以包括:
获取模块101,用于获取至少一条待检测URL;
提取模块102,用于从至少一条待检测URL中提取目标规则,其中,目标规则满足预设规则;
计算模块103,用于基于预设规则中每个规则的预设分数,计算目标规则的目标分数;
确定模块104,用于基于目标分数确定待检测URL的安全性检测结果;
其中,预设规则的类型包括:下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化。
本申请实施例提供的一种HTTP检测***中,预设规则可以包括第一类规则、第二类规则及第三类规则,第一类规则包括下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载;第二类规则包括下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化;第三类规则包括URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化;
预设规则中每个规则的预设分数可以包括:第一类规则中每个规则的预设分数为第一分数值;第二类规则中每个规则的预设分数为第二分数值;第三类规则中每个规则的预设分数为第三分数值;且第三分数值大于第二分数值,第二分数值大于第一分数值。
本申请实施例提供的一种HTTP检测***,计算模块可以具体用于:确定出属于第一类规则的目标规则的第一数量值;确定出属于第二类规则的目标规则的第二数量值;确定出属于第三类规则的目标规则的第三数量值;将第一数量值与第一分数值的乘积值、第二数量值与第二分数值的乘积值、第三数量值与第三分数值的乘积值的和值作为目标分数。
本申请实施例提供的一种HTTP检测***,确定模块可以具体用于:若目标分数在第一分数范围内,则确定出表征待检测URL的危险等级为第一危险等级的安全性检测结果;若目标分数在第二分数范围内,则确定出表征待检测URL的危险等级为第二危险等级的安全性检测结果;若目标分数在第三分数范围内,则确定出表征待检测URL的危险等级为第三危险等级的安全性检测结果;其中,第三分数范围的最小分数值大于第二分数范围的最大分数值,第二分数范围的最小分数值大于第一分数范围的最大分数值;且第三危险等级的危险性高于第二危险等级,第二危险等级的危险性高于第一危险等级。
本申请实施例提供的一种HTTP检测***,第三分数值可以为1,第二分数值可以为0.5,第三分数值可以为0.25;
第一分数范围可以为(1,1.5),第二分数范围可以为(1.5,2),第三分数范围可以为(2,∞)。
本申请实施例提供的一种HTTP检测***,还可以包括:
生成单元,用于若安全性检测结果为第三危险等级,生成安全事件。
本申请实施例提供的一种HTTP检测***,待检测URL位于待检测设备,还可以包括:
统计单元,用于统计待检测设备中安全性检测结果为第三危险等级的待检测URL的数量值;
判断单元,用于判断数量值是否大于预设数量;若数量值大于预设数量,则将待检测设备标记为失陷设备。
本申请还提供了一种HTTP检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种HTTP检测方法具有的对应效果。请参阅图3,图3为本申请实施例提供的一种HTTP检测设备的结构示意图。
本申请实施例提供的一种HTTP检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如上任一实施例所描述HTTP检测方法的步骤。
请参阅图4,本申请实施例提供的另一种HTTP检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现HTTP检测设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如上任一实施例所描述HTTP检测方法的步骤。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、非易失性可读存储介质、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的HTTP检测***、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的HTTP检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种HTTP检测方法,其特征在于,包括:
获取至少一条待检测URL;
从所述至少一条待检测URL中提取目标规则,其中,所述目标规则满足预设规则;
基于所述预设规则中每个规则的预设分数,计算所述目标规则的目标分数;
基于所述目标分数确定所述待检测URL的安全性检测结果;
其中,所述预设规则的类型包括:下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化。
2.根据权利要求1所述的方法,其特征在于,所述预设规则包括第一类规则、第二类规则及第三类规则,所述第一类规则包括所述下载URL对应资源的时间在预设时间段之外、所述直接请求IP域下载URL对应的资源、所述URL的目的IP匹配恶意IP库、所述URL的目的IP匹配海外IP、所述通过RUL对应资源服务器的非预设HTTP端口下载;所述第二类规则包括所述下载的URL对应资源的数据长度不在预设长度范围内、所述URL的域名随机、所述URL对应资源的文件名随机、所述访问URL对应资源的周期按倍数变化、所述访问URL对应资源的周期按固定分钟变化;所述第三类规则包括所述URL对应资源通过HFS服务器下载、所述下载的URL对应资源的文件内容与后缀名不匹配、所述访问URL对应资源的周期按等差变化;
所述预设规则中每个规则的预设分数包括:所述第一类规则中每个规则的预设分数为第一分数值;所述第二类规则中每个规则的预设分数为第二分数值;所述第三类规则中每个规则的预设分数为第三分数值;且所述第三分数值大于所述第二分数值,所述第二分数值大于所述第一分数值。
3.根据权利要求2所述的方法,其特征在于,所述基于所述预设规则中每个规则的预设分数,计算所述目标规则的目标分数,包括:
确定出属于所述第一类规则的所述目标规则的第一数量值;
确定出属于所述第二类规则的所述目标规则的第二数量值;
确定出属于所述第三类规则的所述目标规则的第三数量值;
将所述第一数量值与所述第一分数值的乘积值、所述第二数量值与所述第二分数值的乘积值、所述第三数量值与所述第三分数值的乘积值的和值作为所述目标分数。
4.根据权利要求3所述的方法,其特征在于,所述基于所述目标分数确定所述待检测URL的安全性检测结果,包括:
若所述目标分数在第一分数范围内,则确定出表征所述待检测URL的危险等级为第一危险等级的所述安全性检测结果;
若所述目标分数在第二分数范围内,则确定出表征所述待检测URL的危险等级为第二危险等级的所述安全性检测结果;
若所述目标分数在第三分数范围内,则确定出表征所述待检测URL的危险等级为第三危险等级的所述安全性检测结果;
其中,所述第三分数范围的最小分数值大于所述第二分数范围的最大分数值,所述第二分数范围的最小分数值大于所述第一分数范围的最大分数值;且所述第三危险等级的危险性高于所述第二危险等级,所述第二危险等级的危险性高于所述第一危险等级。
5.根据权利要求4所述的方法,其特征在于,所述第三分数值为1,所述第二分数值为0.5,所述第三分数值为0.25;
所述第一分数范围为(1,1.5),所述第二分数范围为(1.5,2),所述第三分数范围为(2,∞)。
6.根据权利要求4所述的方法,其特征在于,所述基于所述目标分数确定所述待检测URL的安全性检测结果之后,还包括:
若所述安全性检测结果为所述第三危险等级,生成安全事件。
7.根据权利要求6所述的方法,其特征在于,所述待检测URL位于待检测设备,所述方法还包括:
统计所述待检测设备中所述安全性检测结果为所述第三危险等级的所述待检测URL的数量值;
判断所述数量值是否大于预设数量;
若所述数量值大于所述预设数量,则将所述待检测设备标记为失陷设备。
8.一种HTTP检测***,其特征在于,包括:
获取模块,用于获取至少一条待检测URL;
提取模块,用于从所述至少一条待检测URL中提取目标规则,其中所述目标规则满足预设规则;
计算模块,用于基于所述预设规则中每个规则的预设分数,计算所述目标规则的目标分数;
确定模块,用于基于所述目标分数确定所述待检测URL的安全性检测结果;
其中,所述预设规则的类型包括:下载URL对应资源的时间在预设时间段之外、直接请求IP域下载URL对应的资源、URL的目的IP匹配恶意IP库、URL的目的IP匹配海外IP、通过URL对应资源服务器的非预设HTTP端口下载、下载的URL对应资源的数据长度不在预设长度范围内、URL的域名随机、URL对应资源的文件名随机、访问URL对应资源的周期按倍数变化、访问URL对应资源的周期按固定分钟变化、URL对应资源通过HFS服务器下载、下载的URL对应资源的文件内容与后缀名不匹配、访问URL对应资源的周期按等差变化。
9.一种HTTP检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述HTTP检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述HTTP检测方法的步骤。
CN202011519748.4A 2020-12-21 2020-12-21 一种http检测方法、***、设备及计算机存储介质 Pending CN114650158A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011519748.4A CN114650158A (zh) 2020-12-21 2020-12-21 一种http检测方法、***、设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011519748.4A CN114650158A (zh) 2020-12-21 2020-12-21 一种http检测方法、***、设备及计算机存储介质

Publications (1)

Publication Number Publication Date
CN114650158A true CN114650158A (zh) 2022-06-21

Family

ID=81990067

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011519748.4A Pending CN114650158A (zh) 2020-12-21 2020-12-21 一种http检测方法、***、设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN114650158A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080010368A1 (en) * 2006-07-10 2008-01-10 Dan Hubbard System and method of analyzing web content
CN103327029A (zh) * 2013-07-09 2013-09-25 腾讯科技(深圳)有限公司 一种恶意网址的检测方法和设备
US8826426B1 (en) * 2011-05-05 2014-09-02 Symantec Corporation Systems and methods for generating reputation-based ratings for uniform resource locators
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
US20180041530A1 (en) * 2015-04-30 2018-02-08 Iyuntian Co., Ltd. Method and system for detecting malicious web addresses
CN110336835A (zh) * 2019-08-05 2019-10-15 深信服科技股份有限公司 恶意行为的检测方法、用户设备、存储介质及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080010368A1 (en) * 2006-07-10 2008-01-10 Dan Hubbard System and method of analyzing web content
US8826426B1 (en) * 2011-05-05 2014-09-02 Symantec Corporation Systems and methods for generating reputation-based ratings for uniform resource locators
CN103327029A (zh) * 2013-07-09 2013-09-25 腾讯科技(深圳)有限公司 一种恶意网址的检测方法和设备
US20180041530A1 (en) * 2015-04-30 2018-02-08 Iyuntian Co., Ltd. Method and system for detecting malicious web addresses
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
CN110336835A (zh) * 2019-08-05 2019-10-15 深信服科技股份有限公司 恶意行为的检测方法、用户设备、存储介质及装置

Similar Documents

Publication Publication Date Title
CN111401416B (zh) 异常网站的识别方法、装置和异常对抗行为的识别方法
US20180219907A1 (en) Method and apparatus for detecting website security
CN103428189B (zh) 一种识别恶意网络设备的方法、装置和***
CN110417778B (zh) 访问请求的处理方法和装置
CN106685899B (zh) 用于识别恶意访问的方法和设备
CN109327439B (zh) 业务请求数据的风险识别方法、装置、存储介质及设备
CN104935605B (zh) 钓鱼网站的检测方法、装置及***
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN110677384B (zh) 钓鱼网站的检测方法及装置、存储介质、电子装置
CN107426136B (zh) 一种网络攻击的识别方法和装置
CN111786974A (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
US10560473B2 (en) Method of network monitoring and device
CN109981533B (zh) 一种DDoS攻击检测方法、装置、电子设备及存储介质
CN105959294A (zh) 一种恶意域名鉴别方法及装置
CN115174205A (zh) 一种网络空间安全实时监测方法、***及计算机存储介质
CN111193727A (zh) 运行监测***及运行监测方法
CN112019377B (zh) 网络用户角色识别的方法、***、电子装置和存储介质
CN107995167B (zh) 一种设备识别方法及服务器
CN116800518A (zh) 一种网络防护策略的调整方法及装置
CN114650158A (zh) 一种http检测方法、***、设备及计算机存储介质
CN115119197B (zh) 基于大数据的无线网络风险分析方法、装置、设备及介质
CN112839005A (zh) Dns域名异常访问监控方法及装置
CN112769739A (zh) 数据库操作违规处理方法、装置及设备
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN111949363A (zh) 业务访问的管理方法、计算机设备、存储介质及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination