CN115695043A - 漏洞扫描攻击检测方法、模型训练方法及装置 - Google Patents

漏洞扫描攻击检测方法、模型训练方法及装置 Download PDF

Info

Publication number
CN115695043A
CN115695043A CN202211446732.4A CN202211446732A CN115695043A CN 115695043 A CN115695043 A CN 115695043A CN 202211446732 A CN202211446732 A CN 202211446732A CN 115695043 A CN115695043 A CN 115695043A
Authority
CN
China
Prior art keywords
training
vulnerability scanning
scanning attack
access
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211446732.4A
Other languages
English (en)
Inventor
李云龙
谭学士
陈祚松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN202211446732.4A priority Critical patent/CN115695043A/zh
Publication of CN115695043A publication Critical patent/CN115695043A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种漏洞扫描攻击检测方法、模型训练方法及装置。该方法包括:获取访问日志,并从访问日志中提取关键字段信息;根据关键字段信息生成特征向量;将特征向量输入漏洞扫描攻击发现模型,获得漏洞扫描攻击发现模型输出的分析结果;其中,漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用训练特征向量和用于表征训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;分析结果用于表征访问日志对应的行为是否为漏洞扫描攻击行为。本申请通过机器学习模型分析访问日志的特征向量,提高了对漏洞扫描攻击行为识别的准确性。

Description

漏洞扫描攻击检测方法、模型训练方法及装置
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种漏洞扫描攻击检测方法、模型训练方法及装置。
背景技术
工作人员在编写网站程序过程中,可能出现考虑不周全等原因造成的漏洞。不法分子为了攻击该网站,会对该网站的程序进行漏洞扫描,以发现该网站中存在的漏洞。
为了提高网站的安全性,目前大多采用规则匹配的方式发现是否存在对该网站的漏洞扫描攻击行为,即预先设定检测规则,并利用检测规则对产生的日志进行匹配,如果匹配成功,则说明该日志对应的行为是漏洞扫描攻击行为。由于不法分子对漏洞扫描的行为多变,通过规则匹配的方式存在检测准确性低的问题。
发明内容
本申请实施例的目的在于提供一种漏洞扫描攻击检测方法、模型训练方法及装置,用以提高对漏洞扫描攻击行为识别的准确性。
第一方面,本申请实施例提供一种漏洞扫描攻击检测方法,包括:
获取访问日志,并从访问日志中提取关键字段信息;
根据关键字段信息生成特征向量;
将特征向量输入漏洞扫描攻击发现模型,获得漏洞扫描攻击发现模型输出的分析结果;其中,所述漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;分析结果用于表征访问日志对应的行为是否为漏洞扫描攻击行为。
本申请实施例通过从访问日志中提取关键字段信息,并根据关键字段信息生成特征向量,将特征向量输入机器学习模型,使得机器学习模型分析访问日志的特征向量,提高了对漏洞扫描攻击行为识别的准确性。
在任一实施例中,该关键字段信息包括访问时间和源IP地址;根据关键字段信息生成特征向量,包括:
根据访问时间和源IP地址,将关键字段信息存入对应的时间窗口的集合中;
对集合中的关键字段信息进行特征提取,获得特征向量。
本申请实施例通过利用时间窗口,生成时间窗口内的关键字段信息对应的特征向量,从而可以利用漏洞扫描攻击发现模型对时间窗口对应的特征向量进行分析,及时发现漏洞扫描攻击行为。
在任一实施例中,将特征向量输入漏洞扫描攻击发现模型,包括:
将时间窗口对应的特征向量输入漏洞扫描攻击发现模型,若漏洞扫描攻击发现模型输出的分析结果表征时间窗口对应的行为不是漏洞扫描攻击行为,则根据时间窗口对应的特征向量与源IP地址对应的下一时间窗口的特征向量获得新的特征向量;
将新的特征向量输入漏洞扫描攻击发现模型。
本申请实施例中,输入到漏洞扫描攻击发现模型中的特征向量对应的时间窗口由小变大,可以及时发现漏洞扫描攻击行为,并且可以对低频、分时的漏洞扫描攻击行为进行识别。
在任一实施例中,该特征向量中的特征包括:源IP地址的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项。
本申请实施例中通过大量的研究试验确定了特征,从而确定了特征向量所包含的具体内容,提高了对访问日志识别的准确性。
在任一实施例中,该关键字段信息还包括:返回的状态码、访问时长、访问头的长度、访问数据包的字节数、请求方法、目标端口、访问的URL、访问的域名、目的IP地址、访问时发送的有效载荷数据中的至少一项。
由于关键字段信息为特征向量的数据基础,因此,确定关键字段信息所包含的具体信息较为关键,本申请实施例通过从访问日志中提取上述关键字段信息,为提高漏洞扫描攻击行为的准确性提供数据基础。
在任一实施例中,在获得所述漏洞扫描攻击发现模型输出的分析结果之后,该方法还包括:
若分析结果表征访问日志对应的行为是漏洞扫描攻击行为,则将访问日志对应的源IP地址封禁。
本申请实施例中,在确定访问日志对应的行为是漏洞扫描攻击行为时,将对应的源IP地址封禁,提高了网站的安全性。
在任一实施例中,该方法还包括:
获取训练样本,该训练样本包括多个训练源IP地址对应的训练日志和训练源IP地址对应的标签;其中,该标签用于表征所述训练源IP地址是否存在漏洞扫描攻击行为;
对训练日志进行关键词提取,获得训练关键词;
根据各训练源IP地址对应的训练关键词生成对应训练IP地址的训练特征向量;
利用训练特征向量和对应的标签对待训练模型进行训练,获得漏洞扫描攻击发现模型。
本申请实施例通过模型训练后获得漏洞扫描攻击发现模型,并利用该漏洞扫描攻击发现模型提高了对访问日志识别的准确性。
第二方面,本申请实施例提供一种漏洞扫描攻击发现模型训练方法,包括:
获取训练样本,训练样本包括多个训练源IP地址对应的训练日志和训练源IP地址对应的标签;该标签用于表征所述训练源IP地址是否存在漏洞扫描攻击行为;
对训练日志进行关键词提取,获得训练关键词;
根据各训练源IP地址对应的训练关键词生成对应训练IP地址的训练特征向量;
利用训练特征向量和对应的标签对待训练模型进行训练,获得漏洞扫描攻击发现模型。
本申请实施例从训练日志中提取训练关键词,并根据训练关键词生成训练特征向量,利用生成的训练特征向量和对应的训练源IP地址的对待训练模型进行训练,获得的漏洞扫描攻击发现模型能够提高对源IP地址是否存在漏洞扫描攻击行为检测的准确性。
在任一实施例中,训练特征向量中的特征包括:预设时间段内训练源IP地址对应的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项。
本申请实施例中通过大量的研究试验确定了训练模型所使用的特征,从而确定了训练特征向量所包含的具体内容,提高了漏洞扫描攻击发现模型的性能。
第三方面,本申请实施例提供一种漏洞扫描攻击检测装置,包括:
日志获取模块,用于获取访问日志,并从访问日志中提取关键字段信息;
特征提取模块,用于根据关键字段信息生成特征向量;
检测模块,用于将特征向量输入漏洞扫描攻击发现模型,获得漏洞扫描攻击发现模型输出的分析结果;其中,分析结果用于表征访问日志对应的行为是否为漏洞扫描攻击行为。
第四方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面或第二方面的方法。
第五方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面或第二方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种漏洞扫描攻击检测方法流程示意图;
图2为本申请实施例提供的一种模型训练方法流程示意图;
图3为本申请实施例提供的模型与服务器的交互示意图;
图4为本申请实施例提供的一种漏洞扫描攻击检测装置结构示意图;
图5为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合附图对本申请技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本申请的技术方案,因此只作为示例,而不能以此来限制本申请的保护范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。
在本申请实施例的描述中,技术术语“第一”“第二”等仅用于区别不同对象,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量、特定顺序或主次关系。在本申请实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请实施例的描述中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本申请实施例的描述中,术语“多个”指的是两个以上(包括两个),同理,“多组”指的是两组以上(包括两组),“多片”指的是两片以上(包括两片)。
在本申请实施例的描述中,技术术语“中心”“纵向”“横向”“长度”“宽度”“厚度”“上”“下”“前”“后”“左”“右”“竖直”“水平”“顶”“底”“内”“外”“顺时针”“逆时针”“轴向”“径向”“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请实施例的限制。
在本申请实施例的描述中,除非另有明确的规定和限定,技术术语“安装”“相连”“连接”“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;也可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请实施例中的具体含义。
由于代码编写人员在编写网站程序时,可能由于考虑不周等原因导致网站程序中存在漏洞,因此,为了修补这些漏洞,网站程序维护人员会对网站程序进行漏洞扫描,以在发现了漏洞后对漏洞进行修补。同时,不法分子也会通过漏洞扫描,发现漏洞后对漏洞进行攻击,本申请将该行为称为漏洞扫描攻击。但是漏洞扫描不一定就能发现漏洞,因此,不法分子可通过向服务器发送多次访问请求,以进行漏洞扫描。随着不法分子通过漏洞扫描返回的结果对漏洞有更深入的了解,可能会发现网站程序中存在的更多的漏洞。
目前,通常使用规则匹配的方法发现来自不法分子的漏洞扫描,例如:可以匹配漏洞扫描时常见的访问路径、常见的攻击载荷等,一旦匹配成功便可确定其属于不法行为。这种方式需要工作人员预先根据经验设定匹配规则。但是,不法分子为了逃避该匹配规则,会改变其漏洞扫描的行为习惯,例如:采用低频且分时的方法进行漏洞扫描。因此,采用规则匹配方法进行漏洞扫描攻击的检测的准确性较低。
为了提高对漏洞扫描攻击检测的准确性,本申请实施例提供了一种基于机器学习的漏洞扫攻击检测方法、装置、电子设备及存储介质。在介绍本申请的具体实施方式之前,先对本申请中涉及到的相关概念进行解释说明:
nginx:nginx(engine x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好。nginx上产生的日志包括访问日志和错误日志;其中,通过访问日志可以获得用户地域来源、跳转来源、使用终端、某个URL访问量等相关信息;通过错误日志,可以得到***某个服务或server的性能瓶颈等。
web漏洞:web漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的web漏洞有sql注入、xss漏洞、上传漏洞等。
漏洞扫描攻击:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机***的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。同样地,黑客也可以先通过漏洞扫描,探知服务器存在的漏洞,为后续的攻击做准备。
payload data:是记载着信息的那部分数据。通常在传输数据时,为了使数据传输更可靠,要把原始数据分批传输,并且在每一批数据的头和尾都加上一定的辅助信息,比如这一批数据量的大小,校验位等,其相当于给已经分批原始数据加一些“外套”,这些“外套”起到标示作用,使得原始数据不易丢失。一批数据加上它的“外套”,就形成了传输通道中基本的传输单元,叫做数据帧或者数据包(有的地方数据帧和数据包不是同一概念比如网络传输)。这些数据帧中的记录信息的原始数据就是有效载荷数据,即payload data。
可以理解的是,本申请实施例提供的模型训练方法以及漏洞扫描攻击检测方法可以应用于电子设备,该电子设备可以包括终端和服务器;其中终端具体可以为智能手机、平板电脑、计算机、个人数字助理(Personal Digital Assitant,PDA)等;服务器具体可以为应用服务器,也可以为Web服务器。另外,模型训练方法以及漏洞扫描攻击检测方法均可以是同一电子设备执行,也可以是不同电子设备执行。
图1为本申请实施例提供的一种漏洞扫描攻击检测方法流程示意图,如图1所示,该方法包括:
步骤101:获取访问日志,并从所述访问日志中提取关键字段信息;
步骤102:根据所述关键字段信息生成特征向量;
步骤103:将所述特征向量输入漏洞扫描攻击发现模型,获得所述漏洞扫描攻击发现模型输出的分析结果;其中,所述漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;所述分析结果用于表征所述访问日志对应的行为是否为漏洞扫描攻击行为。
在步骤101中,访问日志是指用户访问目标对象时生成的日志,即nginx访问日志。用户可能是合规的工作人员或客户,也可能是不法分子。目标对象是指本申请对其进行漏洞扫描攻击检测的对象,例如可以为web网站等。
当有用户访问web网站时,该web网站对应的服务器生成访问日志。若电子设备为该web服务器,则可直接利用该访问日志进行后续步骤的处理,若电子设备为终端,则该终端与web服务器通信,从web服务器中获取该访问日志,并利用获取到的访问日志进行后续步骤的处理。
可以理解的是,访问日志中包括多个字段信息,例如:客户端(用户)IP地址(也称为源IP地址)、访问时间、访问端口、响应时间、请求时间、用户地址位置代码、请求的URL地址、请求方式、请求状态、请求页面大小、来源页面(即从哪个页面转到本页面)、用户浏览器语言和用户浏览器其他信息(例如:浏览器版本、浏览器类型等)等。
由于访问日志中包括了很多字段信息,这些字段信息中有些字段信息是本申请所需要的,有些字段是本申请不需要的,因此,电子设备在获取到访问日志后,可以对访问日志进行关键字段的提取,以获得关键字段信息。可以理解的是,可以预先设定要从访问日志中提取的关键字段。
在步骤102中,电子设备在获取到关键字段信息后,对关键字段信息进行特征工程,即对关键字段信息进行分析,获得特征向量。具体的,电子设备中还存储有该访问日志对应的源IP地址在历史时间段内的历史访问日志,从而,可以根据历史访问日志和当前的访问日志生成特征向量。可以理解的是,特征向量可以为访问日志对应的源IP地址对目标对象进行访问的访问特征构成,例如:特征向量可以为访问URL的次数和访问URL的个数等构成。若访问URL的次数为5,访问URL的个数为2,那么特征向量可以为(5,2)。当然,特征向量中还可以包括其他访问特征对应的值,本申请实施例对此不作具体限定。
在步骤103中,漏洞扫描攻击发现模型为预先利用训练日志对待训练模型训练获得,其中,该漏洞扫描攻击发现模型可以采用卷积神经网络模型、决策树模型、支持向量机模型、随机森林模型等,本申请实施例不对该漏洞扫描攻击发现模型的具体形式进行限定。
电子设备在生成特征向量后,将特征向量输入预先训练获得的漏洞扫描攻击发现模型中,漏洞扫描攻击发现模型可以输出该特征向量对应的分析结果。其中,分析结果可以为该访问日志对应的源IP地址的访问行为是漏洞扫描攻击行为或者不是漏洞扫描攻击行为。
本申请实施例通过从访问日志中提取关键字段信息,并根据关键字段信息生成特征向量,将特征向量输入机器学习模型,使得机器学习模型分析访问日志的特征向量,提高了对漏洞扫描攻击行为识别的准确性。
在上述实施例的基础上,关键字段信息包括访问时间和源IP地址;根据关键字段信息生成特征向量,包括:
根据访问时间和源IP地址,将关键字段信息存入对应的时间窗口的集合中;
对集合中的关键字段信息进行特征提取,获得特征向量。
在具体的实施过程中,将同一源IP地址在一时间段内的关键字段信息存入对应的时间窗口对应的集合中。时间窗口是指一个时间段,例如:可以将5分钟或10分钟作为一个时间窗口,当然也可以根据实际情况对时间窗口的大小进行设置,本申请实施例对时间窗口的大小不作具体限定。以2022年10月10日0点开始,时间窗口为10分钟,源IP地址为111.111.111.11为例,第一个时间窗口:2022年10月10日0:01-2022年10月10日0:10;第二个时间窗口:2022年10月10日0:11-2022年10月10日0:20;第三个时间窗口:2022年10月10日0:21-2022年10月10日0:30;…。若访问时间为2022年10月10日0:15,则将对应的关键字段信息写入第二个时间窗口对应的集合中。应当说明的是,每一个出现的源IP地址都可以按照上述的划分方法获得对应的一套时间窗口的集合,在根据某个时间窗口对应的集合中的关键字段信息生成对应的特征向量后,将该集合中的关键字段信息删除。
在另一实施例中,每个源IP地址划分时间窗口的开始时间也可以不同,即可以将每个源IP地址第一次访问目标对象对应的访问时间开始进行划分。这样做的好处是,若某个源IP地址的访问行为是从中间某个时间,例如从中午12点开始,则0点-12点之间不需要为该源IP地址设置对应的时间窗口,降低了计算量。
一个时间窗口对应的集合中可能为空,可能包含一条访问日志对应的关键字字段信息,还可能包含多条访问日志对应的关键字段信息。
应当说明的是,关键字段信息还可以包括以下至少一项:
返回的状态码、访问时长、访问头的长度、访问数据包的字节数、请求方法、目标端口、访问的URL、访问的域名、目的IP地址、访问时发送的有效载荷数据。
当当前时间到达每个时间窗口的结束时间后,获取该时间窗口对应的集合中的关键字段信息,并对关键字段信息进行特征提取,获得该时间窗口对应的特征向量。
应当说明的是,特征向量中的特征可以包含以下至少一项:
该时间窗口对应的源IP地址的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数。
其中,访问次数是指在该时间窗口内源IP地址向目标对象发送访问请求的次数。访问URL个数是指该时间窗口内源IP地址访问了多少个不同的URL。访问端口数是指该时间窗口内源IP地址访问端口的数量。不同的有效载荷数据个数是指该时间窗口内不同有效载荷个数。累计访问时长是指该时间窗口内源IP地址访问的累计时长。有效载荷数据的平均长度是指该时间窗口内所有的有效载荷数据的长度与有效载荷个数的商。访问的URL的平均长度是指该时间窗口内访问的URL的字节总长度与不同的URL个数的商。状态码返回成功个数是指该时间窗口内成功返回给源IP地址的个数。状态码返回失败个数是指该时间窗口内没有成功返回给源IP地址的个数。其中,可以通过不同的状态码表征返回成功还是失败,例如:状态码为200表示返回成功,状态码为404表示返回失败,通过统计状态码为200和为404的个数确定状态码返回成功个数和状态码返回失败个数。应当说明的是,还可以采用其他数字表示返回成功和返回失败,即可以预先对其进行配置,本申请实施例对此不作具体限定。相同数据且相同URL的个数是指该时间窗口内有效载荷相同且访问的URL相同的访问请求的个数。相同数据且相同域名的个数是指该时间窗口内有效载荷相同且访问域名相同的访问请求的个数。有效载荷数据中存在敏感词的个数是指该时间窗口内各个有效载荷数据中存在敏感词的总个数。其中,敏感词为预先设定的词。
在另一实施例中,还可以将多个具备关联关系的源IP地址在一时间段内的关键字段信息存入对应的时间窗口的集合中。其中,可以通过历史时间段内的特征向量中所包含的访问的URL、目标IP地址和有效载荷数据等分析方式确定多个源IP地址之间是否具备关联关系。
可以理解的是,通过对历史时间段内的特征向量的分析,可以生成攻击者的画像,还可以分析哪个业务***更容易受到攻击者的攻击,以对容易受到攻击的业务***加强防护等。
本申请实施例通过利用时间窗口,生成时间窗口内的关键字段信息对应的特征向量,从而可以利用漏洞扫描攻击发现模型对时间窗口对应的特征向量进行分析,及时发现漏洞扫描攻击行为。
在上述实施例的基础上,将特征向量输入漏洞扫描攻击发现模型,包括:
将时间窗口对应的特征向量输入漏洞扫描攻击发现模型,若漏洞扫描攻击发现模型输出的分析结果表征时间窗口对应的行为不是漏洞扫描攻击行为,则根据时间窗口对应的特征向量与源IP地址对应的下一时间窗口的特征向量获得新的特征向量;
将新的特征向量输入漏洞扫描攻击发现模型。
在具体的实施过程中,仍以上述实施例中提供的时间窗口为例,在2022年10月10日10:00之后,可以将第一个时间窗口对应的特征向量输入漏洞扫描攻击发现模型,若漏洞扫描攻击发现模型输出的分析结果表征该第一个时间窗口对应的源IP地址的访问行为不属于漏洞扫描攻击行为。在2022年10月10日20:00之后,可以将第二时间窗口对应的特征向量与第一个时间窗口对应的特征向量进行相加,获得新的特征向量,并将新的特征向量输入到漏洞扫描攻击发现模型,若漏洞扫描攻击发现模型输出的分析结果表征该第一个时间窗口对应的源IP地址的访问行为不属于漏洞扫描攻击行为,则可将第三个时间窗口对应的特征向量与前两个时间窗口对应的特征向量输入到漏洞扫描攻击发现模型进行分析,以此类推,若漏洞扫描攻击发现模型对第N个时间窗口的特征向量及前N-1个时间窗口的特征向量之和进行分析后,获得的分析结果表征该源IP地址的访问行为属于漏洞扫描攻击行为,则对该源IP地址进行后续的处理。或者漏洞扫描攻击发现模型对前N个时间窗口的特征向量之和进行分析后获得的分析结果表征源IP地址对应的访问行为仍然不是漏洞扫描攻击行为为止。可以理解的是,N为预先设定的,例如N=1440,也可以是一天对应的时间窗口的个数,本申请实施例对此不作具体限定。
这样做的好处是,以时间窗口为1个小时为例,若漏洞扫描攻击发现模型检测到不法分子在一天中的前两个小时出现漏洞扫描攻击行为,则可以在一天中第2个小时候便可对该不法分子所使用的源IP地址进行封禁处理。因此,时间窗口越小,越能够及时发现漏洞扫描攻击行为,电子设备的负载也更大;相反的,时间窗口越大,发现漏洞扫描攻击行为越不及时,电子设备的负载相对小一些。在实际应用过程中,可根据实际情况设定时间窗口的大小。
本申请实施例中,输入到漏洞扫描攻击发现模型中的特征向量对应的时间窗口的数量由少变多,可以及时发现漏洞扫描攻击行为,并且可以对低频、分时的漏洞扫描攻击行为进行识别。
在上述实施例的基础上,在获得漏洞扫描攻击发现模型输出的分析结果之后,该方法还包括:
若分析结果表征访问日志对应的行为是漏洞扫描攻击行为,则将访问日志对应的源IP地址封禁。
在具体的实施过程中,为了保证目标对象的安全,在确定访问日志对应的行为是漏洞扫描攻击行为后,将该访问日志对应的源IP地址封禁。可以理解的是,禁止该源IP地址访问目标对象。
在另一实施例中,在漏洞扫描攻击发现模型输出的分析结果表明访问日志对应的行为属于为漏洞扫描攻击行为,则电子设备向运维人员对应的终端发送告警提示,由运维人员再次对其进行判断,若判断结果为属于漏洞扫描攻击行为,则向电子设备发送确认消息,电子设备将该源IP地址封禁。这样做的好处是,防止由于漏洞扫描攻击发现模型误检测后,将正常的源IP地址封禁。
在上述实施例的基础上,图2为本申请实施例提供的一种模型训练方法流程示意图,如图2所示,该方法包括:
步骤201:获取多个训练源IP地址对应的训练日志。可以理解的是,训练日志为电子设备在历史时间段采集到了训练源IP地址对应的访问日志。
步骤202:对所述训练日志进行关键词提取,获得训练关键词。电子设备在获取到训练日志后,对训练日志进行解析,提取训练关键词。可以理解的是,训练关键词对应的具体字段与上述实施例中在进行漏洞扫描攻击检测时使用的关键字段信息对应的具体字段相同,此处不再赘述。在获得到训练关键词后,基于安全专家的经验,对每条训练日志的训练关键词进行打标签。标签用于表征训练源IP地址是否存在漏洞扫描攻击行为,例如:可以采用“1”表示存在漏洞扫描攻击行为,作为负样本;采用“0”表示不存在漏洞扫描攻击行为,作为正样本。还可以采用其他标识对训练日志的标签进行标识,本申请实施例对此不作具体限定。
步骤203:根据各所述训练源IP地址对应的所述训练关键词生成对应训练IP地址的训练特征向量。可根据实际情况确定预设时间段,例如可以将预设时间段设为一天,即对训练源IP在每天的行为进行判断,判断是否是漏洞扫描行为,并对训练源IP和日期进行聚合,获得训练特征向量。其中,训练特征向量包括:一天内所述训练源IP地址对应的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项。训练特征向量和对应的标签生成训练样本,多个训练样本构成训练集。因此,训练集中包括多个训练源IP地址对应的训练样本,且每个训练源IP地址对应多个训练样本。可以理解的是,在模型训练中,输入到待训练模型中的训练特征向量中所包含的特征,与实际检测时输入到训练好的漏洞扫描攻击发现模型中的特征向量所包含的特征相同。
步骤204:利用所述训练特征向量和对应的标签对待训练模型进行训练,获得所述漏洞扫描攻击发现模型。其中,标签用于表征训练源IP地址是否存在漏洞扫描攻击行为。将训练集进行拆分,例如可以将训练集中80%的训练样本用于训练,训练集中20%的训练样本用于验证,将用于训练的数据,采取十折交叉验证的方法进行训练。训练完成后,使用验证集对训练后获得的模型进行验证,若训练后获得的模型的准确率在95%以上,则将训练后获得的模型作为最终的漏洞扫描攻击发现模型。应当说明的是,上述训练集拆分比例以及停止训练的准确率可根据实际情况进行设定,本申请实施例对此不作具体限定。
在训练结束后,将漏洞扫描攻击发现模型对应的模型文件保存在数据库中,已被***进行检测时调用。
本申请实施例通过模型训练后获得漏洞扫描攻击发现模型,并利用该漏洞扫描攻击发现模型提高了对访问日志识别的准确性。
在另一实施例中,漏洞扫描攻击发现模型的部署方法如下:
(1)nginx日志的实时向量化
漏洞扫描攻击发现模型是实时计算模型,且可以部署在服务器集群中,当nginx日志解析发送到集群之后,首先会进行一次分组,按nginx日志的访问时间和源IP地址进行分组,即将相同的源IP地址,且访问时间输入划分的时间窗口内进入对应的时间窗口对应的集合中,该时间窗口可以设定为五分钟或者十分钟,在这个时间窗口内,nginx日志会根据特征工程转化为特征向量,通过将特征向量发送到漏洞扫描攻击发现模型中,得到分析结果,如果分类结果表示该行为是攻击,则发出告警。如果不是,则将特征向量写入缓存中,当下一个窗口,又出现了这次计算过的分组,就会将两次计算的特征向量求和,再次发送到漏洞扫描攻击发现模型,计算后将结果返回。以此类推,直到分析结果表征源IP地址发生了漏洞扫描攻击行为为止,或输入到漏洞扫描攻击发现模型中的特征向量对应的时间窗口的数量达到预设数量为止。
(2)漏洞扫描攻击发现模型在服务器的部署方法
漏洞扫描攻击发现模型的程序与服务器集群对日志处理的程序,都部署在同一台服务器上,并使用进程通信的方式,相互通信,图3为本申请实施例提供的模型与服务器的交互示意图,如图3所示。当日志处理程序生成特征向量后,就会调用漏洞扫描攻击发现模型的进程,漏洞扫描攻击发现模型会将分析结果也通过进程间通信的方式发送回服务器上。
(3)发现异常时的告警生成
当漏洞扫描攻击发现模型发现异常后,结果会发送到告警前端页面中,在这个页面中会显示,这个漏洞扫描攻击的详细情况,提供给运营人员做判断,如果确定为扫描攻击,服务器可以配合防火墙进行封禁,如果是正常行为,运营人员可以将该行为进行标注,标注后的结果会被留存,以用于定期更新模型,提高准确率。
图4为本申请实施例提供的一种漏洞扫描攻击检测装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:日志获取模块401、特征提取模块402和检测模块403,其中:
日志获取模块401用于获取访问日志,并从访问日志中提取关键字段信息;
特征提取模块402用于根据关键字段信息生成特征向量;
检测模块403用于将特征向量输入漏洞扫描攻击发现模型,获得漏洞扫描攻击发现模型输出的分析结果;其中,所述漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;分析结果用于表征访问日志对应的行为是否为漏洞扫描攻击行为。
在上述实施例的基础上,关键字段信息包括访问时间和源IP地址;特征提取模块402具体用于:
根据访问时间和所述源IP地址,将关键字段信息存入对应的时间窗口的集合中;
对集合中的关键字段信息进行特征提取,获得特征向量。
在上述实施例的基础上,检测模块403具体用于:
将时间窗口对应的特征向量输入漏洞扫描攻击发现模型,若漏洞扫描攻击发现模型输出的分析结果表征时间窗口对应的行为不是漏洞扫描攻击行为,则根据时间窗口对应的特征向量与源IP地址对应的下一时间窗口的特征向量获得新的特征向量;
将新的特征向量输入漏洞扫描攻击发现模型。
在上述实施例的基础上,该特征向量中的特征包括:源IP地址的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项。
在上述实施例的基础上,该关键字段信息还包括:返回的状态码、访问时长、访问头的长度、访问数据包的字节数、请求方法、目标端口、访问的URL、访问的域名、目的IP地址、访问时发送的有效载荷数据中的至少一项。
在上述实施例的基础上,该装置还包括处理模块,用于:
若分析结果表征访问日志对应的行为是漏洞扫描攻击行为,则将访问日志对应的源IP地址封禁。
在上述实施例的基础上,该装置还包括模型训练模块,用于:
获取训练样本,训练样本包括多个训练源IP地址对应的训练日志和训练源IP地址对应的标签;其中,所述标签用于表征所述训练源IP地址是否存在漏洞扫描攻击行为;
对训练日志进行关键词提取,获得训练关键词;
根据各训练源IP地址对应的训练关键词生成对应训练IP地址的训练特征向量;其中,训练特征向量包括:预设时间段内所述训练源IP地址对应的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项;
利用训练特征向量和对应的标签对待训练模型进行训练,获得漏洞扫描攻击发现模型。
在另一实施例中,本申请实施例提供一种漏洞扫描攻击发现模型训练装置,包括:样本获取模块、关键词提取模块、训练特征向量生成模块和训练模块,其中:
样本获取模块,用于获取训练样本,所述训练样本包括多个训练源IP地址对应的训练日志和所述训练源IP地址对应的标签;其中,所述标签用于表征所述训练源IP地址是否存在漏洞扫描攻击行为;
关键词提取模块,用于对所述训练日志进行关键词提取,获得训练关键词;
训练特征向量生成模块,用于根据各所述训练源IP地址对应的所述训练关键词生成对应训练IP地址的训练特征向量;
训练模块,用于利用所述训练特征向量和对应的标签对待训练模型进行训练,获得所述漏洞扫描攻击发现模型。
在上述实施例的基础上,所述训练特征向量中的特征包括:预设时间段内所述训练源IP地址对应的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项。
图5为本申请实施例提供的电子设备实体结构示意图,如图5所示,所述电子设备,包括:处理器(processor)501、存储器(memory)502和总线503;其中,
所述处理器501和存储器502通过所述总线503完成相互间的通信;
所述处理器501用于调用所述存储器502中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取访问日志,并从访问日志中提取关键字段信息;根据关键字段信息生成特征向量;将特征向量输入漏洞扫描攻击发现模型,获得漏洞扫描攻击发现模型输出的分析结果;其中,漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;分析结果用于表征访问日志对应的行为是否为漏洞扫描攻击行为。
处理器501可以是一种集成电路芯片,具有信号处理能力。上述处理器501可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器502可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取访问日志,并从访问日志中提取关键字段信息;根据关键字段信息生成特征向量;将特征向量输入漏洞扫描攻击发现模型,获得漏洞扫描攻击发现模型输出的分析结果;其中,漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;分析结果用于表征访问日志对应的行为是否为漏洞扫描攻击行为。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取访问日志,并从访问日志中提取关键字段信息;根据关键字段信息生成特征向量;将特征向量输入漏洞扫描攻击发现模型,获得漏洞扫描攻击发现模型输出的分析结果;其中,漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;分析结果用于表征访问日志对应的行为是否为漏洞扫描攻击行为。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (12)

1.一种漏洞扫描攻击检测方法,其特征在于,包括:
获取访问日志,并从所述访问日志中提取关键字段信息;
根据所述关键字段信息生成特征向量;
将所述特征向量输入漏洞扫描攻击发现模型,获得所述漏洞扫描攻击发现模型输出的分析结果;其中,所述漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;所述分析结果用于表征所述访问日志对应的行为是否为漏洞扫描攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述关键字段信息包括访问时间和源IP地址;所述根据所述关键字段信息生成特征向量,包括:
根据所述访问时间和所述源IP地址,将所述关键字段信息存入对应的时间窗口的集合中;
对所述集合中的关键字段信息进行特征提取,获得所述特征向量。
3.根据权利要求2所述的方法,其特征在于,所述将所述特征向量输入漏洞扫描攻击发现模型,包括:
将所述时间窗口对应的特征向量输入所述漏洞扫描攻击发现模型,若所述漏洞扫描攻击发现模型输出的所述分析结果表征所述时间窗口对应的行为不是漏洞扫描攻击行为,则根据所述时间窗口对应的特征向量与源IP地址对应的下一时间窗口的特征向量获得新的特征向量;
将所述新的特征向量输入所述漏洞扫描攻击发现模型。
4.根据权利要求1所述的方法,其特征在于,所述特征向量中的特征包括:所述源IP地址的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项。
5.根据权利要求1所述的方法,其特征在于,所述关键字段信息还包括:返回的状态码、访问时长、访问头的长度、访问数据包的字节数、请求方法、目标端口、访问的URL、访问的域名、目的IP地址、访问时发送的有效载荷数据中的至少一项。
6.根据权利要求1所述的方法,其特征在于,在获得所述漏洞扫描攻击发现模型输出的分析结果之后,所述方法还包括:
若所述分析结果表征所述访问日志对应的行为是漏洞扫描攻击行为,则将所述访问日志对应的源IP地址封禁。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
获取训练样本,所述训练样本包括多个训练源IP地址对应的训练日志和所述训练源IP地址对应的标签;其中,所述标签用于表征所述训练源IP地址是否存在漏洞扫描攻击行为;
对所述训练日志进行关键词提取,获得训练关键词;
根据各所述训练源IP地址对应的所述训练关键词生成对应训练IP地址的训练特征向量;
利用所述训练特征向量和对应的标签对待训练模型进行训练,获得所述漏洞扫描攻击发现模型。
8.一种漏洞扫描攻击发现模型训练方法,其特征在于,包括:
获取训练样本,所述训练样本包括多个训练源IP地址对应的训练日志和所述训练源IP地址对应的标签;其中,所述标签用于表征所述训练源IP地址是否存在漏洞扫描攻击行为;
对所述训练日志进行关键词提取,获得训练关键词;
根据各所述训练源IP地址对应的所述训练关键词生成对应训练IP地址的训练特征向量;
利用所述训练特征向量和对应的标签对待训练模型进行训练,获得所述漏洞扫描攻击发现模型。
9.根据权利要求8所述的方法,其特征在于,所述训练特征向量中的特征包括:预设时间段内所述训练源IP地址对应的访问次数、访问URL个数、访问端口数、不同的有效载荷数据个数、累计访问时长、有效载荷数据的平均长度、访问的URL的平均长度、状态码返回成功个数、状态码返回失败个数、相同数据且相同URL的个数、相同数据且相同域名的个数、有效载荷数据中存在敏感词的个数中的至少一项。
10.一种漏洞扫描攻击检测装置,其特征在于,包括:
日志获取模块,用于获取访问日志,并从所述访问日志中提取关键字段信息;
特征提取模块,用于根据所述关键字段信息生成特征向量;
检测模块,用于将所述特征向量输入漏洞扫描攻击发现模型,获得所述漏洞扫描攻击发现模型输出的分析结果;其中,所述漏洞扫描攻击发现模型为预先根据训练日志生成对应的训练特征向量,并利用所述训练特征向量和用于表征所述训练日志对应的训练源IP地址是否存在漏洞扫描攻击行为的标签进行模型训练获得;所述分析结果用于表征所述访问日志对应的行为是否为漏洞扫描攻击行为。
11.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-9任一项所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-9任一项所述的方法。
CN202211446732.4A 2022-11-18 2022-11-18 漏洞扫描攻击检测方法、模型训练方法及装置 Pending CN115695043A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211446732.4A CN115695043A (zh) 2022-11-18 2022-11-18 漏洞扫描攻击检测方法、模型训练方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211446732.4A CN115695043A (zh) 2022-11-18 2022-11-18 漏洞扫描攻击检测方法、模型训练方法及装置

Publications (1)

Publication Number Publication Date
CN115695043A true CN115695043A (zh) 2023-02-03

Family

ID=85054488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211446732.4A Pending CN115695043A (zh) 2022-11-18 2022-11-18 漏洞扫描攻击检测方法、模型训练方法及装置

Country Status (1)

Country Link
CN (1) CN115695043A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117579395A (zh) * 2024-01-16 2024-02-20 成都市思叠科技有限公司 一种应用人工智能进行网络安全漏洞扫描的方法及***
CN117896186A (zh) * 2024-03-14 2024-04-16 沈阳市名域科技有限公司 一种基于日志分析的漏洞扫描方法、***及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117579395A (zh) * 2024-01-16 2024-02-20 成都市思叠科技有限公司 一种应用人工智能进行网络安全漏洞扫描的方法及***
CN117579395B (zh) * 2024-01-16 2024-03-26 成都市思叠科技有限公司 一种应用人工智能进行网络安全漏洞扫描的方法及***
CN117896186A (zh) * 2024-03-14 2024-04-16 沈阳市名域科技有限公司 一种基于日志分析的漏洞扫描方法、***及存储介质
CN117896186B (zh) * 2024-03-14 2024-05-31 沈阳市名域科技有限公司 一种基于日志分析的漏洞扫描方法、***及存储介质

Similar Documents

Publication Publication Date Title
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
CN115695043A (zh) 漏洞扫描攻击检测方法、模型训练方法及装置
US8281401B2 (en) System for detecting vulnerabilities in web applications using client-side application interfaces
CN108932426B (zh) 越权漏洞检测方法和装置
CN112861648B (zh) 文字识别方法、装置、电子设备及存储介质
CN109768992B (zh) 网页恶意扫描处理方法及装置、终端设备、可读存储介质
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN108256322B (zh) 安全测试方法、装置、计算机设备和存储介质
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
US20060104202A1 (en) Rule creation for computer application screening; application error testing
CN109831459B (zh) 安全访问的方法、装置、存储介质和终端设备
CN111625837B (zh) 识别***漏洞的方法、装置和服务器
US9251367B2 (en) Device, method and program for preventing information leakage
CN111404939B (zh) 邮件威胁检测方法、装置、设备及存储介质
CN113408281B (zh) 邮箱账号异常检测方法、装置、电子设备及存储介质
CN115664859B (zh) 基于云打印场景下的数据安全分析方法、装置、设备及介质
CN110602030A (zh) 网络入侵阻断方法、服务器及计算机可读介质
CN113472803A (zh) 漏洞攻击状态检测方法、装置、计算机设备和存储介质
CN113810381B (zh) 一种爬虫检测方法、web应用云防火墙、装置和存储介质
CN111314326B (zh) Http漏洞扫描主机的确认方法、装置、设备及介质
CN111770097B (zh) 一种基于白名单的内容锁防火墙方法及***
CN116800518A (zh) 一种网络防护策略的调整方法及装置
CN116015800A (zh) 一种扫描器识别方法、装置、电子设备及存储介质
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination