CN115208789B - 目录***行为的确定方法、装置、电子设备及存储介质 - Google Patents
目录***行为的确定方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115208789B CN115208789B CN202210832446.5A CN202210832446A CN115208789B CN 115208789 B CN115208789 B CN 115208789B CN 202210832446 A CN202210832446 A CN 202210832446A CN 115208789 B CN115208789 B CN 115208789B
- Authority
- CN
- China
- Prior art keywords
- request
- time window
- uri
- proportion
- uris
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供一种目录***行为的确定方法、装置、电子设备及存储介质。该方法包括:获取长时时间窗口内的各请求中的URI,其中,长时时间窗口的时长为第一预设时长;确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的含敏感后缀URI比例,敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若非重复URI比例大于第一预设比例,且含敏感后缀URI比例大于预设比例,则确定长时时间窗口内出现目录***行为。通过该方式,能对长时时间窗口内的目录***行为进行检测,从而能降低现有技术中检测目录***行为的漏报率,进而能解决现有技术检测目录***行的准确率较低的问题。
Description
技术领域
本申请涉及数据处理技术领域,具体而言,涉及一种目录***行为的确定方法、装置、电子设备及存储介质。
背景技术
现有的检测Web目录***的方法较为单一,通常是通过统计一定时间窗口内的路径访问频次、请求失败占比等,从而判断是否有目录***行为发生。但该检测方式存在漏报和误报的情况,使得对目录***行为的检测不够准确。
发明内容
本申请实施例的目的在于提供一种目录***行为的确定方法、装置、电子设备及存储介质,以改善“现有技术检测目录***行为的准确率较低”的问题。
本发明是这样实现的:
第一方面,本申请实施例提供一种目录***行为的确定方法,所述方法包括:获取长时时间窗口内的各请求中的URI,其中,所述长时时间窗口的时长为第一预设时长;确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的含敏感后缀URI比例,所述敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若所述非重复URI比例大于第一预设比例,且所述含敏感后缀URI比例大于第二预设比例,则确定所述长时时间窗口内出现目录***行为。
在本申请实施例中,因在长时时间窗口内,通常会出现低频目录***行为,且该低频目录***行为通常是通过使用路径字典,进行不同的URI路径访问,访问的速度较低。因此,通过判断长时时间窗口内的非重复URI比例是否大于第一预设比例,以及含敏感后缀URI比例是否大于第二预设比例,从而能检测长时时间窗口内是否出现低频目录***行为,以降低检测目录***行为的漏报率,进而能提高检测检测目录***行为的准确率。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述获取长时时间窗口内的各请求中的URI,包括:获取所述长时时间窗口内的流量;通过tshark对所述流量进行解析,得到结构化数据;从所述结构化数据中,获取http.request.uri字段对应的数据,其中,所述http.request.uri字段对应的数据包括所述各请求中的URI。
在本申请实施例中,通过上述方式,能快速且准确地从长时时间窗口内的流量中,获取到长时时间窗口内的各请求中的URI。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述第一预设时长为1小时-24小时之间。
在本申请实施例中,通过将长时时间窗口的时长设置为1小时-24小时之间,能更有利于对目标***行为的检测,即不会因时长过短,使得无法从数据中检测出目录***行为,也不会因时长设置过长而无法及时检测出目录***行为,从而能提高检测目录***行为的准确率。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述敏感后缀包括tar、tar.gz、zip、rar、7z、bz2、gz、_bak.rar、war、mdb、.sh、.bak、.ini、.env、.secret和.key。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,其中,所述短时时间窗口的时长为第二预设时长,且所述第一预设时长大于所述第二预设时长;确定所述短时时间窗口内的非重复的URI在全部URI中的非重复URI比例;若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述短时时间窗口内的非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为。
在本申请实施例中,通过上述方式,能根据HEAD方法的请求次数是否大于GET方法的请求次数、非重复URI是否比例大于第三预设比例、以及请求频次是否大于预设频次这三方面检测是否存在高频目录***行为。相较于现有技术中只通过统计较短的时间窗口内的路径访问频次、请求失败占比判断是否有高频目录***行为,上述方式能从更多维度更准确的检测短时时间内是否存在高频目录***行为,从而能进一步提高检测检测目录***行为的准确率。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,在所述确定所述短时时间窗口内出现目录***行为之前,所述方法还包括:获取所述短时时间窗口内各请求对应的响应消息中的状态码;确定所述短时时间窗口内的非正常的状态码在全部状态码中的非正常状态码比例;所述若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为,包括:若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例、所述请求频次大于预设频次且所述非正常状态码比例大于第四预设比例,则确定所述短时时间窗口内出现目录***行为。
在本申请实施例中,通过上述方式,在检测HEAD方法的请求次数是否大于GET方法的请求次数、非重复URI是否比例大于第三预设比例、以及请求频次是否大于预设频次的基础上,进一步检测非正常状态码比例是否大于第四预设比例,即增加一个检测条件,使得能从更多维度更准确的检测短时时间内是否存在高频目录***行为,进而能进一步提高检测目录***行为的准确率。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,包括:获取所述短时时间窗口内的流量;通过tshark对该流量进行解析,得到结构化数据;从该结构化数据中,获取frame.time、http.request.method和http.request.uri字段对应的数据,其中,该frame.time字段对应的数据包括所述短时时间窗口内的各请求对应的请求时间,该http.request.method字段对应的数据包括所述短时时间窗口内的各请求对应的请求类型;该http.request.uri字段对应的数据包括所述短时时间窗口内的各请求中的URI;通过所述frame.time、http.request.method和http.request.uri字段对应的数据,获取所述HEAD方法的请求次数、所述GET方法的请求次数、所述短时时间窗口内的各请求中的URI和所述请求频次。
在本申请实施例中,通过上述方式,能快速且准确地从短时时间窗口内的流量中,获取到短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述第二预设时长在2分钟-20分钟之间。
在本申请实施例中,通过将短时时间窗口的时长设置为2分钟-20分钟小时之间,能更有利于对目标***行为的检测,即不会因时长过短,使得无法从数据中检测出目录***行为,也不会因时长设置过长而无法及时检测出目录***行为,从而能提高检测目录***行为的准确率。
第二方面,本申请实施例提供一种目录***行为的确定方法,所述方法包括:获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次确定非重复的URI在全部URI中的非重复URI比例;若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第一预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为。
在本申请实施例中,通过上述方式,能从HEAD方法的请求次数是否大于GET方法的请求次数、非重复URI是否比例大于第三预设比例、以及请求频次是否大于预设频次这三方面检测是否存在高频目录***行为。相较于现有技术中只通过统计较短的时间窗口内的路径访问频次、请求失败占比判断是否有高频目录***行为,上述方式能从更多维度更准确的检测短时时间内是否存在高频目录***行为,从而能提高检测检测目录***行为的准确率。
第三方面,本申请实施例提供一种目录***行为的确定装置,所述装置包括:第一获取模块,用于获取长时时间窗口内的各请求中的URI,其中,所述长时时间窗口的时长为第一预设时长;第一确定模块,用于确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的敏感后缀URI比例,所述敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若所述长时时间窗口内的非重复URI比例大于第三预设比例,且所述敏感后缀的URI比例大于预设比例,则确定所述长时时间窗口内出现目录***行为。
第四方面,本申请实施例提供一种目录***行为的确定装置,所述装置包括:第二获取模块,用于获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次;第二确定模块,用于确定非重复的URI在全部URI中的非重复URI比例;若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第一预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为。
第五方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法,或执行如上述第二方面实施例提供的方法。
第六方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法,或执行如上述第二方面实施例提供的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种目录***行为的确定方法的步骤流程图。
图2为本申请实施例提供的另一种目录***行为的确定方法的步骤流程图。
图3为本申请实施例提供的一种目录***行为的确定装置的模块框图。
图4为本申请实施例提供的另一种目录***行为的确定装置的模块框图。
图5为本申请实施例提供的一种电子设备的模块框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
鉴于现有技术检测目录***行为的准确率较低,本申请发明人经过研究探索,提出以下实施例以解决上述问题。
以下结合图1对一种目录***行为的确定方法的具体流程及步骤进行描述。本申请实施例提供一种目录***行为的确定方法,可应用于对网站中目录***行为的检测。
需要说明的是,本申请实施例提供的目录***行为的确定方法不以图1及以下所示的顺序为限制。
步骤S101:获取长时时间窗口内的各请求中的URI(Uniform ResourceIdentifier,统一资源标识符)。
其中,长时时间窗口的时长为第一预设时长,且第一预设时长大于等于1小时。可以理解的是,长时时间窗口的时长可根据实际情况进行合理的设置,比如:长时时间窗口的时长可设置为2小时,或6小时,或12小时,或24小时,或36小时,或48小时。需要说明的是,当长时时间窗口的时长为1小时-24小时之间时,更有利于对目标***行为的检测,即不会因时长过短,使得无法从数据中检测出目录***行为,也不会因时长设置过长而无法及时检测出目录***行为。并且,当长时时间窗口的时长为1小时-24小时之间时,长时时间窗口可设置为2小时,或6小时,或10小时,或18小时。
进一步,获取长时时间窗口内的各请求中的URI可具体包括:获取长时时间窗口内的流量;通过tshark对流量进行解析,得到结构化数据;从结构化数据中,获取http.request.uri字段对应的数据。其中,http.request.uri字段对应的数据包括各请求中的URI;tshark工具可参考现有技术,避免赘述,此处不再说明。
在本申请实施例中,通过上述方式,可快速且准确地获取到该长时时间窗口内的各请求中的URI。
在获取到长时时间窗口内的各请求中的URI,本方法可继续进行步骤S102。
步骤S102:确定非重复的URI在全部URI中的非重复URI比例。
具体的,在获取到长时时间窗口内的各请求中的URI后,可先统计全部URI的总数;再从全部URI中去除重复的URI,然后再统计非重复URI的总数;最后,将非重复URI的总数除以全部URI的总数便可获得上述非重复URI比例。
步骤S103:确定含有敏感后缀的URI在全部URI中的含敏感后缀URI比例。
其中,敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀,且敏感后缀包括但不限于tar、tar.gz、zip、rar、7z、bz2、gz、_bak.rar、war、mdb、.sh、.bak、.ini、.env、.secret和.key。
具体的,在获取到获取长时时间窗口内的各请求中的URI后,可检测各URI的后缀;再将后缀为敏感后缀的URI筛选出来,并统计含有敏感后缀的URI的总数;最后,将含有敏感后缀的URI的总数除以URI的总数,则可得到上述含敏感后缀URI比例。
需要说明的是,可同时确定长时时间窗口内的非重复URI比例和含敏感后缀URI比例(即同时进行步骤S202和步骤S203);也可先确定非重复URI比例,再确定敏感后缀URI比例(即先进行步骤S202,再进行步骤S203);还可先确定敏感后缀URI比例,再确定非重复URI比例(即先进行步骤S203,再进行步骤S202),此处不做限定。
在确定出长时时间窗口内的非重复URI比例和敏感后缀URI比例后,本方法可继续进行步骤S104。
步骤S104:若非重复URI比例大于第一预设比例,且含敏感后缀URI比例大于第二预设比例,则确定长时时间窗口内出现目录***行为。
在长时时间窗口内,通常会出现低频目录***行为,该低频目录***行为通常是通过使用路径字典,进行不同的URI路径访问,且访问的速度会较低。因此,针对该低频目录***行为,可检测该长时时间窗口内的非重复URI比例是否大于第一预设比例,以及含敏感后缀URI比例是否大于第二预设比例,从而判断该长时时间窗口内是否存在低频目录***行为。
进一步,因长时时间窗口内,非重复URI越多,则存在低频目录***行为的可能性越大,故上述第一预设比例可设置为大于0.5且小于1的值,比如:第一预设比例可为0.6,或0.7,或0.8,或0.9。可以理解的是,该第一预设比例可根据实际情况进行相应的设置,且第一预设比例的数值越大,则可使误报率降低,相应的,漏报率将升高;第一预设比例设置的数值越小,则可使漏报率降低,相应的,误报率将升高。
相应的,因长时时间窗口内,含敏感后缀URI越多,则存在低频目录***行为的可能性越大,故上述第二预设比例可设置为大于0.5且小于1的值,比如:第二预设比例可为0.6,或0.7,或0.8,或0.9。可以理解的是,该第二预设比例可根据实际情况进行相应的设置,且第二预设比例的数值越大,则可使误报率降低,相应的,漏报率将升高;第二预设比例设置的数值越小,则可使漏报率降低,相应的,误报率将升高。
此外,在获取到非重复URI比例和含敏感后缀URI比例后,可同时判断非重复URI比例是否大于第一预设比例,以及含敏感后缀URI比例是否大于第二预设比例。若非重复URI比例大于第一预设比例,且含敏感后缀URI比例大于第二预设比例,则确定长时时间窗口内出现目录***行为。
反之,若存在非重复URI比例小于等于第一预设比例,或含敏感后缀URI比例小于等于第二预设比例,则表示长时时间窗口内未出现上述低频目录***行为。
在本申请实施例中,通过判断非重复URI比例是否大于第一预设比例,以及含敏感后缀URI比例是否大于第二预设比例,从而能检测长时时间窗口内是否出现低频目录***行为,以降低检测目录***行为的漏报率,进而能提高检测检测目录***行为的准确率。
需要说明的是,除了对长时时间窗口进行目录***行为检测,还可对短时时间窗口进行目录***行为检测。并且,上述对短时时间窗口进行目录***行为检测可与对长时时间窗口进行目录***行为检测同时进行,也只对长时时间窗口进行目录***行为检测,或只对短时时间窗口进行目录***行为检测。
以下结合图2对短时时间窗口进行目录***行为检测进行说明。需要说明的是,本申请实施例提供的对短时时间窗口进行目录***行为检测的方法不以图2及以下所示的顺序为限制。
步骤S201:获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次。
其中,短时时间窗口的时长为第二预设时长,第一预设时长大于第二预设时长,且第二预设时长小于1小时。可以理解的是,请求频次可以根据短时时间窗口的时长进行设置,比如:短时时间窗口的时长为5分钟,则请求频次可为每1分钟内的请求次数。
需要说明的是,短时时间窗口的时长可根据实际情况进行合理的设置,比如:短时时间窗口可设置为2分钟,或20分钟,或30分钟,或40分钟,或50分钟。此外,当短时时间窗口的时长被设置为在2分钟-20分钟之间时,更有利于对目标***行为的检测,即不会因时长设置过短,使得无法从数据中检测出目录***行为,也不会因时长设置过长而无法及时检测出目录***行为,比如:短时时间窗口可设置为2分钟,或5分钟,或10分钟,或15分钟。
进一步,上述获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次可具体包括:获取短时时间窗口内的流量;通过tshark对该流量进行解析,得到结构化数据;从该结构化数据中,获取frame.time、http.request.method和http.request.uri字段对应的数据,其中,该frame.time字段对应的数据包括短时时间窗口内的各请求对应的请求时间,该http.request.method字段对应的数据包括短时时间窗口内的各请求对应的请求类型;该http.request.uri字段对应的数据包括短时时间窗口内的各请求中的URI;通过frame.time、http.request.method和http.request.uri字段对应的数据,获取HEAD方法的请求次数、GET方法的请求次数、短时时间窗口内的各请求中的URI和请求频次。其中,tshark工具可参考现有技术,避免赘述,此处不再说明。
在本申请实施例中,通过上述方式,能快速且准确的获取到该短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、所各请求中的URI和请求频次。
需要说明的是,在获取到frame.time字段对应的数据之后,可得到该短时时间窗口内各请求发出的时间,相应的,请求时间的总数为该短时时间窗口内的请求总数。具体的,在获取到该请求总数后,将该请求总数除以对应的时长,可获得请求频次;其中,该时长与设置的时间频率有关。示例性的,短时时间窗口的时长为5分钟,frame.time字段对应的数据有500个,则在该5分钟内,请求总数有500个;此时,请求频率为每分钟的请求总数,则在该短时时间窗口内,每分钟的请求总数为100个,即请求频次为每分钟100个。
此外,在获取到http.request.method字段对应的数据之后,可从该数据中先筛选出HEAD方法和GET方法对应的数据;接着,从筛选出的HEAD方法和GET方法对应的数据统计出HEAD方法的请求次数、GET方法的请求次数。
在获取到短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次之后,本方法可继续进行步骤S202。
步骤S202:确定短时时间窗口内的非重复的URI在全部URI中的非重复URI比例。
本步骤中的确定非重复URI比例的具体过程请参考步骤S102中的说明,避免赘述,此处不再说明。
在获取到短时时间窗口内的非重复URI比例后,本方法可继续进行步骤S203。
步骤S203:若HEAD方法的请求次数大于GET方法的请求次数、短时时间窗口内的非重复URI比例大于第三预设比例且请求频次大于预设频次,则确定短时时间窗口内出现目录***行为。
在短时时间窗口内,通常会出现高频目录***行为,该高频目录***行为通常会使用路径字典和HEAD方法,通过遍历不同的URI路径对目标网址进行大量地请求。因此,针对该高频目录***行为,可检测该短时时间窗口内的HEAD方法的请求次数是否大于GET方法的请求次数、非重复URI是否比例大于第三预设比例、以及请求频次是否大于预设频次,从而判断该短时时间窗口内是否存在高频目录***行为。
进一步,因上述高频目录***行为通常会使用路径字典和HEAD方法,通过遍历不同的URI路径对目标网址进行大量地请求。因此,上述预设频次可设置比正常的请求频次更多的数值,比如:正常的请求频次为每分钟60次,则可将预设频次设置为每分钟90次,或每分钟100次,或每分钟110次,或每分钟120次。可以理解的是,预设频次可根据实际情况进行相应的设置,且预设频次设置的数值越大,则可使误报率降低,相应的,漏报率将升高;预设频次设置的数值越小,则可使漏报率降低,相应的,误报率升高。
因短时时间窗口内,非重复URI越多,则存在低频目录***行为的可能性越大,故上述第三预设比例可设置为大于0.5且小于1的值,比如:第三预设比例可为0.6,或0.7,或0.8,或0.9。可以理解的是,该第三预设比例可根据实际情况进行相应的设置,且第三预设比例的数值越大,则可使误报率降低,相应的,漏报率将升高;第三预设比例设置的数值越小,则可使漏报率降低,相应的,误报率将升高。
此外,在步骤S201获取到HEAD方法的请求次数、GET方法的请求次数和请求频次,以及在步骤S202获取到非重复URI比例之后,可同时判断HEAD方法的请求次数是否大于GET方法的请求次数、请求频次是否大于预设频次以及非重复URI比例是否大于第一预设比例,若HEAD方法的请求次数大于GET方法的请求次数、非重复URI比例是否大于第一预设比例且请求频次大于预设频次,则可确定短时时间窗口内出现目录***行为。
反之,在上述判断中,若存在HEAD方法的请求次数小于等于GET方法的请求次数,或请求频次小于等于预设频次,或非重复URI比例小于等于第一预设比例,则表示短时时间窗口内不存在目录***行为。
在本申请实施例中,通过上述方式,能从HEAD方法的请求次数是否大于GET方法的请求次数、非重复URI是否比例大于第三预设比例、以及请求频次是否大于预设频次这三方面检测是否存在高频目录***行为。相较于现有技术中只通过统计较短的时间窗口内的路径访问频次、请求失败占比判断是否有高频目录***行为,上述方式能更准确的检测出短时时间内是否存在高频目录***行为。
此外,在确定短时时间窗口内出现目录***行为之前,上述目录***行为的确定方法还可包括:获取短时时间窗口内各请求对应的响应消息中的状态码;确定短时时间窗口内的非正常的状态码在全部状态码中的非正常状态码比例。相应的,若HEAD方法的请求次数大于GET方法的请求次数、短时时间窗口内的非重复URI比例大于第三预设比例且请求频次大于预设频次,则确定短时时间窗口内出现目录***行为可具体包括:若HEAD方法的请求次数大于GET方法的请求次数、非重复URI比例大于第三预设比例、请求频次大于预设频次且非正常状态码比例大于第四预设比例,则确定短时时间窗口内出现目录***行为。
其中,非正常的状态码指的是非200的状态码。且获取短时时间窗口内各请求对应的响应消息中的状态码可具体包括:在步骤S201获取到结构化数据后,从该结构化数据中筛选出http.response.code字段对应的数据,其中,该http.response.code字段对应的数据包括各请求对应的响应消息中的状态码。
进一步,在本申请实施例中,可同时判断HEAD方法的请求次数是否大于GET方法的请求次数,请求频次是否大于预设频次、短时时间窗口内的非重复URI比例是否大于第三预设比例以及非正常状态码比例是否大于第四预设比例,若HEAD方法的请求次数大于GET方法的请求次数、非重复URI比例是否大于第一预设比例、请求频次大于预设频次且非正常状态码比例大于第二预设比例,则确定短时时间窗口内出现目录***行为。
反之,若存在HEAD方法的请求次数小于等于GET方法的请求次数,或请求频次小于等于预设频次,或非重复URI比例小于等于第一预设比例,或非正常状态码比例小于第二预设比例,则表示短时时间窗口内不存在目录***行为。
需要说明的是,因短时时间窗口内的目录***行为除了通常会使用路径字典和HEAD方法,通过遍历不同的URI路径对目标网址进行大量地请求,还会因请求不通过,产生大量的402、302等表征非正常的状态码。因此,上述第四预设比例可设置为大于0.5且小于1的值,比如:第四预设比例可为0.6,或0.7,或0.8,或0.9。可以理解的是,该第四预设比例可根据实际情况进行相应的设置,且第四预设比例的数字越大,则可使误报率降低,相应的,漏报率将升高;第四预设比例设置的数值越小,则可使漏报率降低,相应的,误报率将升高。
在本申请实施例中,通过同时判断HEAD方法的请求次数是否大于GET方法的请求次数、请求频次是否大于预设频次、非重复URI比例是否大于第三预设比例以及非正常状态码比例是否大于第四预设比例,能进一步提高在短时时间窗口内检测高频目录***行为的准确率。
此外,还需说明的是,若同时对短时时间窗口和长时时间窗口内的目录***行为进行检测,则获取长时时间窗口内的各请求中的URI还可具体包括:从与长时时间窗口对应的多个短时时间窗口内,获取各短时时间窗口内的http.request.uri字段对应的数据,比如:短时时间窗口的时长为20分钟,长时时间窗口的时长为1小时,那么,针对11:00-12:00这一长时时间窗口,则可从11:00-11:20的短时时间窗口、11:20-11:40的短时时间窗口和11:40-12:00的短时时间窗口中,获取这三个短时时间窗口内的http.request.uri字段对应的数据。通过该方式,可避免获取长时时间窗口内的各请求中的URI,从而能提高对长时时间窗口内的目录***行为的检测效率。
请参阅图3,基于同一发明构思,本申请实施例还提供一种目录***行为的确定装置100,该装置100包括:第一获取模块101和第一确定模块102。
第一获取模块101,用于获取长时时间窗口内的各请求中的URI,其中,长时时间窗口的时长为第一预设时长。
第一确定模块102,用于确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的敏感后缀URI比例,敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若长时时间窗口内的非重复URI比例大于第三预设比例,且敏感后缀的URI比例大于预设比例,则确定长时时间窗口内出现目录***行为。
可选的,第一获取模块101具体用于获取长时时间窗口内的流量;通过tshark对流量进行解析,得到结构化数据;从结构化数据中,获取http.request.uri字段对应的数据,其中,http.request.uri字段对应的数据包括各请求中的URI。
可选的,上述装置还包括处理模块103,处理模块103用于获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,其中,短时时间窗口的时长为第二预设时长,且第一预设时长大于第二预设时长;确定短时时间窗口内的非重复的URI在全部URI中的非重复URI比例;若HEAD方法的请求次数大于GET方法的请求次数、短时时间窗口内的非重复URI比例大于第三预设比例且请求频次大于预设频次,则确定短时时间窗口内出现目录***行为。
可选的,处理模块103还用于在确定短时时间窗口内出现目录***行为之前,获取短时时间窗口内各请求对应的响应消息中的状态码;确定短时时间窗口内的非正常的状态码在全部状态码中的非正常状态码比例;若HEAD方法的请求次数大于GET方法的请求次数、非重复URI比例大于第三预设比例、请求频次大于预设频次且非正常状态码比例大于第四预设比例,则确定短时时间窗口内出现目录***行为。
可选的,处理模块103具体用于获取短时时间窗口内的流量;通过tshark对该流量进行解析,得到结构化数据;从该结构化数据中,获取frame.time、http.request.method和http.request.uri字段对应的数据,其中,该frame.time字段对应的数据包括短时时间窗口内的各请求对应的请求时间,该http.request.method字段对应的数据包括短时时间窗口内的各请求对应的请求类型;该http.request.uri字段对应的数据包括短时时间窗口内的各请求中的URI;通过frame.time、http.request.method和http.request.uri字段对应的数据,获取HEAD方法的请求次数、GET方法的请求次数、短时时间窗口内的各请求中的URI和请求频次。
请参阅图4,基于同一发明构思,本申请实施例还提供一种目录***行为的确定装置200,该装置200包括:第二获取模块201和第二确定模块202。
第一获取模块201,用于获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次。
第一确定模块202,用于确定非重复的URI在全部URI中的非重复URI比例;若HEAD方法的请求次数大于GET方法的请求次数、非重复URI比例大于第一预设比例且请求频次大于预设频次,则确定短时时间窗口内出现目录***行为。
请参阅图5,基于同一发明构思,本申请实施例提供的一种电子设备300的示意性结构框图,该电子设备300可用于实施上述的一种方法。本申请实施例中,电子设备300可以是,但不限于个人计算机(Personal Computer,PC)、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、移动上网设备(Mobile Internet Device,MID)等。在结构上,电子设备300可以包括处理器310和存储器320。
处理器310与存储器320直接或间接地电性连接,以实现数据的传输或交互,例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。其中,处理器310可以是一种集成电路芯片,具有信号处理能力。处理器310也可以是通用处理器,例如,可以是中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、分立门或晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。此外,通用处理器可以是微处理器或者任何常规处理器等。
存储器320可以是,但不限于,随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-OnlyMemory,PROM)、可擦可编程序只读存储器(Erasable Programmable Read-Only Memory,EPROM),以及电可擦编程只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)。存储器320用于存储程序,处理器310在接收到执行指令后,执行该程序。
应当理解,图5所示的结构仅为示意,本申请实施例提供的电子设备300还可以具有比图5更少或更多的组件,或是具有与图5所示不同的配置。此外,图5所示的各组件可以通过软件、硬件或其组合实现。
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在被运行时执行上述实施例中提供的方法。
该存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (13)
1.一种目录***行为的确定方法,其特征在于,所述方法包括:
获取长时时间窗口内的各请求中的URI,其中,所述长时时间窗口的时长为第一预设时长;
确定非重复的URI在全部URI中的非重复URI比例;
确定含有敏感后缀的URI在全部URI中的含敏感后缀URI比例,所述敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;
若所述非重复URI比例大于第一预设比例,且所述含敏感后缀URI比例大于第二预设比例,则确定所述长时时间窗口内出现目录***行为。
2.根据权利要求1所述的方法,其特征在于,所述获取长时时间窗口内的各请求中的URI,包括:
获取所述长时时间窗口内的流量;
通过tshark对所述流量进行解析,得到结构化数据;
从所述结构化数据中,获取http.request.uri字段对应的数据,其中,所述http.request.uri字段对应的数据包括所述各请求中的URI。
3.根据权利要求1所述的方法,其特征在于,所述第一预设时长为1小时-24小时之间。
4.根据权利要求1所述的方法,其特征在于,所述敏感后缀包括tar、tar.gz、zip、rar、7z、bz2、gz、_bak.rar、war、mdb、.sh、.bak、.ini、.env、.secret和.key。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,其中,所述短时时间窗口的时长为第二预设时长,且所述第一预设时长大于所述第二预设时长;
确定所述短时时间窗口内的非重复的URI在全部URI中的非重复URI比例;
若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述短时时间窗口内的非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为。
6.根据权利要求5所述的方法,其特征在于,在所述确定所述短时时间窗口内出现目录***行为之前,所述方法还包括:
获取所述短时时间窗口内各请求对应的响应消息中的状态码;
确定所述短时时间窗口内的非正常的状态码在全部状态码中的非正常状态码比例;
所述若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为,包括:
若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第三预设比例、所述请求频次大于预设频次且所述非正常状态码比例大于第四预设比例,则确定所述短时时间窗口内出现目录***行为。
7.根据权利要求5所述的方法,其特征在于,所述获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次,包括:
获取所述短时时间窗口内的流量;
通过tshark对该流量进行解析,得到结构化数据;
从该结构化数据中,获取frame.time、http.request.method和http.request.uri字段对应的数据,其中,该frame.time字段对应的数据包括所述短时时间窗口内的各请求对应的请求时间,该http.request.method字段对应的数据包括所述短时时间窗口内的各请求对应的请求类型;该http.request.uri字段对应的数据包括所述短时时间窗口内的各请求中的URI;
通过所述frame.time、http.request.method和http.request.uri字段对应的数据,获取所述HEAD方法的请求次数、所述GET方法的请求次数、所述短时时间窗口内的各请求中的URI和所述请求频次。
8.根据权利要求5所述的方法,其特征在于,所述第二预设时长在2分钟-20分钟之间。
9.一种目录***行为的确定方法,其特征在于,所述方法包括:
获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次;
确定非重复的URI在全部URI中的非重复URI比例;
若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第一预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为。
10.一种目录***行为的确定装置,其特征在于,所述装置包括:
第一获取模块,用于获取长时时间窗口内的各请求中的URI,其中,所述长时时间窗口的时长为第一预设时长;
第一确定模块,用于确定非重复的URI在全部URI中的非重复URI比例;确定含有敏感后缀的URI在全部URI中的敏感后缀URI比例,所述敏感后缀包括使用路径字典进行不同的URI路径访问的URI后缀;若所述长时时间窗口内的非重复URI比例大于第三预设比例,且所述敏感后缀的URI比例大于预设比例,则确定所述长时时间窗口内出现目录***行为。
11.一种目录***行为的确定装置,其特征在于,所述装置包括:
第二获取模块,用于获取短时时间窗口内的HEAD方法的请求次数、GET方法的请求次数、各请求中的URI和请求频次;
第二确定模块,用于确定非重复的URI在全部URI中的非重复URI比例;若所述HEAD方法的请求次数大于所述GET方法的请求次数、所述非重复URI比例大于第一预设比例且所述请求频次大于预设频次,则确定所述短时时间窗口内出现目录***行为。
12.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器和所述存储器连接;
所述存储器用于存储程序;
所述处理器用于运行存储在所述存储器中的程序,以执行如权利要求1-8中任一项所述的方法,或执行如权利要9所述的方法。
13.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序在被计算机运行时执行如权利要求1-8中任一项所述的方法或如权利要求9所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210832446.5A CN115208789B (zh) | 2022-07-14 | 2022-07-14 | 目录***行为的确定方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210832446.5A CN115208789B (zh) | 2022-07-14 | 2022-07-14 | 目录***行为的确定方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208789A CN115208789A (zh) | 2022-10-18 |
| CN115208789B true CN115208789B (zh) | 2023-06-09 |
Family
ID=83582527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210832446.5A Active CN115208789B (zh) | 2022-07-14 | 2022-07-14 | 目录***行为的确定方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208789B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009105996A1 (zh) * | 2008-02-28 | 2009-09-03 | 华为技术有限公司 | 实现服务访问的方法、设备及*** |
| CN105320659A (zh) * | 2014-06-04 | 2016-02-10 | 同程网络科技股份有限公司 | 敏感词过滤方法 |
| JP2017049821A (ja) * | 2015-09-02 | 2017-03-09 | 雅利 井本 | インシデント対応型ログインシステム |
| CN108667766A (zh) * | 2017-03-28 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 文件探测方法及文件探测装置 |
| CN109768992A (zh) * | 2019-03-04 | 2019-05-17 | 深信服科技股份有限公司 | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 |
| CN110765333A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 采集网站信息的方法及装置、存储介质、电子装置 |
| CN111723378A (zh) * | 2020-06-17 | 2020-09-29 | 浙江网新恒天软件有限公司 | 一种基于网站地图的网站目录***方法 |
| CN113890762A (zh) * | 2021-09-29 | 2022-01-04 | 中孚安全技术有限公司 | 一种基于流量数据的网络爬虫行为检测方法及*** |
| CN114143071A (zh) * | 2021-11-29 | 2022-03-04 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
| CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、***、计算机及存储介质 |
| CN114547496A (zh) * | 2022-02-21 | 2022-05-27 | 绿盟科技集团股份有限公司 | 一种目录猜测识别方法、装置及电子设备 |
-
2022
- 2022-07-14 CN CN202210832446.5A patent/CN115208789B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009105996A1 (zh) * | 2008-02-28 | 2009-09-03 | 华为技术有限公司 | 实现服务访问的方法、设备及*** |
| CN105320659A (zh) * | 2014-06-04 | 2016-02-10 | 同程网络科技股份有限公司 | 敏感词过滤方法 |
| JP2017049821A (ja) * | 2015-09-02 | 2017-03-09 | 雅利 井本 | インシデント対応型ログインシステム |
| CN108667766A (zh) * | 2017-03-28 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 文件探测方法及文件探测装置 |
| CN109768992A (zh) * | 2019-03-04 | 2019-05-17 | 深信服科技股份有限公司 | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 |
| CN110765333A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 采集网站信息的方法及装置、存储介质、电子装置 |
| CN111723378A (zh) * | 2020-06-17 | 2020-09-29 | 浙江网新恒天软件有限公司 | 一种基于网站地图的网站目录***方法 |
| CN113890762A (zh) * | 2021-09-29 | 2022-01-04 | 中孚安全技术有限公司 | 一种基于流量数据的网络爬虫行为检测方法及*** |
| CN114143071A (zh) * | 2021-11-29 | 2022-03-04 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
| CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、***、计算机及存储介质 |
| CN114547496A (zh) * | 2022-02-21 | 2022-05-27 | 绿盟科技集团股份有限公司 | 一种目录猜测识别方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208789A (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729094B (zh) | 恶意攻击检测方法、***、计算机装置及可读存储介质 | |
| CN111064745B (zh) | 一种基于异常行为探测的自适应反爬方法和*** | |
| CN102694696B (zh) | Dns服务器异常检测的方法及装置 | |
| CN113312241A (zh) | 异常告警的方法、生成访问日志的方法以及运维*** | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN108540533B (zh) | 一种应答请求的方法和装置 | |
| CN108390856B (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| CN110932933B (zh) | 网络状况监测方法、计算设备及计算机存储介质 | |
| CN111726358A (zh) | 攻击路径分析方法、装置、计算机设备及存储介质 | |
| CN113645092B (zh) | 网络质量评估方法、装置、终端设备和存储介质 | |
| CN111142851A (zh) | 一种异常请求处理方法、装置、电子设备及存储介质 | |
| CN114650187B (zh) | 一种异常访问检测方法、装置、电子设备及存储介质 | |
| CN110069217B (zh) | 一种数据存储方法及装置 | |
| CN103618786A (zh) | 一种播放错误处理方法及服务器 | |
| JP2019029960A (ja) | 検知装置、検知方法および検知プログラム | |
| CN115208789B (zh) | 目录***行为的确定方法、装置、电子设备及存储介质 | |
| CN115495424A (zh) | 数据处理的方法、电子设备和计算机程序产品 | |
| CN112235244A (zh) | 异常报文的构造方法以及工控网络设备的检测方法、装置和介质 | |
| CN114880194B (zh) | 服务异常监控方法、装置、电子设备及计算机存储介质 | |
| CN110955587A (zh) | 一种待更换设备确定方法及装置 | |
| CN113660257B (zh) | 请求拦截方法、装置、电子设备和计算机可读存储介质 | |
| CN110443043B (zh) | 一种对安卓应用程序的漏洞检测方法以及设备 | |
| CN110333968B (zh) | 应用于数据库的数据管理方法、装置及计算机设备 | |
| CN114024867B (zh) | 网络异常检测方法及装置 | |
| CN115118463A (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |