本申請(qǐng)涉及互聯(lián)網(wǎng)
技術(shù)領(lǐng)域：
，尤其涉及一種Web漏洞掃描的檢測(cè)方法及裝置。
背景技術(shù)：
：Web漏洞掃描可以用于查找Web服務(wù)器中的漏洞。但是，該技術(shù)容易被黑客用于獲取Web服務(wù)器上的漏洞，從而對(duì)該Web服務(wù)器進(jìn)行攻擊?，F(xiàn)有技術(shù)中，安全防護(hù)設(shè)備主要是基于單IP的統(tǒng)計(jì)方式來檢測(cè)Web漏洞掃描的。例如，統(tǒng)計(jì)某個(gè)Web服務(wù)器中單個(gè)源IP的訪問頻率，如果所述訪問頻率大于預(yù)設(shè)閾值，那么說明該單個(gè)源IP正在對(duì)Web服務(wù)器進(jìn)行Web漏洞掃描。然而，隨著漏洞掃描技術(shù)的發(fā)展，Web漏洞掃描已經(jīng)從傳統(tǒng)的單機(jī)Web漏洞掃描模式發(fā)展到分布式Web漏洞掃描模式。而在分布式Web漏洞掃描的情況下，攻擊方是可以通過大量的客戶端向Web服務(wù)器進(jìn)行Web漏洞掃描的，而每個(gè)客戶端可能僅掃描少數(shù)幾次，如此上述基于單IP的統(tǒng)計(jì)方式往往無法檢測(cè)出分布式Web漏洞掃描的情況。技術(shù)實(shí)現(xiàn)要素：本申請(qǐng)?zhí)峁┑腤eb漏洞掃描的檢測(cè)方法及裝置，以解決現(xiàn)有技術(shù)中無法檢測(cè)出分布式Web漏洞掃描的問題。根據(jù)本申請(qǐng)實(shí)施例提供的一種Web漏洞掃描的檢測(cè)方法，所述方法包括：獲取被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征；將所述行為特征在預(yù)設(shè)的攻擊特征規(guī)則庫中進(jìn)行匹配；所述攻擊特征規(guī)則庫中包含攻擊特征和攻擊分值，且所述攻擊特征與攻擊分值一一對(duì)應(yīng)；根據(jù)命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值，統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所述被檢測(cè)Web目標(biāo)的攻擊總分值；在所述攻擊總分值大于預(yù)設(shè)閾值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果?？蛇x的，所述根據(jù)命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值，統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所述被檢測(cè)Web目標(biāo)的攻擊總分值，具體包括：統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值；所述單一攻擊分值為該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值之和；將所有單個(gè)源IP的單一攻擊分值相加，得到所述被檢測(cè)Web目標(biāo)的攻擊總分值。可選的，在所述統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值之后，所述方法還包括：從所述所有單個(gè)源IP的單一攻擊分值中，篩選出分值最高的單一攻擊分值；在所述分值最高的單一攻擊分值大于預(yù)設(shè)分值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受來自所述分值最高的單一攻擊分值所對(duì)應(yīng)的源IP的Web漏洞掃描的檢測(cè)結(jié)果?？蛇x的，所述單一攻擊分值通過如下方式得到：獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的行為特征的第一分值；將所有命中的行為特征所得到的第一分值相加，得到該單個(gè)源IP的單一攻擊分值?？蛇x的，所述單一攻擊分值通過如下方式得到：獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；在命中次數(shù)等于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的攻擊特征的第二分值；在命中次數(shù)大于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)后，再乘以權(quán)重值，得到該命中的攻擊特征的第三分值；將所有命中的行為特征所得到的第二分值和第三分值相加，得到該單個(gè)源IP的單一攻擊分值。根據(jù)本申請(qǐng)實(shí)施例提供的一種Web漏洞掃描的檢測(cè)裝置，所述裝置包括：獲取單元，用于獲取被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征；匹配單元，用于將所述行為特征在預(yù)設(shè)的攻擊特征規(guī)則庫中進(jìn)行匹配；所述攻擊特征規(guī)則庫中包含攻擊特征和攻擊分值，且所述攻擊特征與攻擊分值一一對(duì)應(yīng)；統(tǒng)計(jì)單元，用于根據(jù)命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值，統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所述被檢測(cè)Web目標(biāo)的攻擊總分值；檢測(cè)單元，用于在所述攻擊總分值大于預(yù)設(shè)閾值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果?？蛇x的，所述統(tǒng)計(jì)單元，具體包括：第一統(tǒng)計(jì)子單元，用于統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值；所述單一攻擊分值為該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值之和；第二統(tǒng)計(jì)子單元，用于將所有單個(gè)源IP的單一攻擊分值相加，得到所述被檢測(cè)Web目標(biāo)的攻擊總分值。可選的，在所述第一統(tǒng)計(jì)子單元之后，所述裝置還包括：篩選子單元，用于從所述所有單個(gè)源IP的單一攻擊分值中，篩選出分值最高的單一攻擊分值；檢測(cè)子單元，用于在所述分值最高的單一攻擊分值大于預(yù)設(shè)分值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受來自所述分值最高的單一攻擊分值所對(duì)應(yīng)的源IP的Web漏洞掃描的檢測(cè)結(jié)果?？蛇x的，所述第一統(tǒng)計(jì)子單元，具體包括：獲取子單元，用于獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；第一計(jì)算子單元，用于將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的行為特征的第一分值；求和子單元，用于將所有命中的行為特征所得到的第一分值相加，得到該單個(gè)源IP的單一攻擊分值?？蛇x的，所述第一統(tǒng)計(jì)子單元，具體包括：獲取子單元，用于獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；第二計(jì)算子單元，用于在命中次數(shù)等于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的攻擊特征的第二分值；第三計(jì)算子單元，用于在命中次數(shù)大于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)后，再乘以權(quán)重值，得到該命中的攻擊特征的第三分值；求和子單元，用于將所有命中的行為特征所得到的第二分值和第三分值相加，得到該單個(gè)源IP的單一攻擊分值。本申請(qǐng)實(shí)施例中，通過預(yù)先在攻擊特征規(guī)則庫中對(duì)攻擊特征進(jìn)行打分，從而使得預(yù)設(shè)的攻擊特征規(guī)則庫中包含攻擊特征和攻擊分值，并且所述攻擊特征與攻擊分值一一對(duì)應(yīng)。如此，在對(duì)被檢測(cè)Web目標(biāo)進(jìn)行檢測(cè)時(shí)，可以將所述被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征在所述預(yù)設(shè)的攻擊特征規(guī)則庫中進(jìn)行匹配，根據(jù)命中的行為特征對(duì)應(yīng)的攻擊分值來統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)該被檢測(cè)Web目標(biāo)的攻擊總分值；在所述攻擊總分值大于預(yù)設(shè)閾值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果。由于所述攻擊總分值是統(tǒng)計(jì)了所有源IP命中攻擊特征規(guī)則庫的情況，所以可以實(shí)現(xiàn)檢測(cè)出分布式Web漏洞掃描的情況，避免了僅根據(jù)單個(gè)源IP來作為檢測(cè)Web漏洞掃描的依據(jù)。附圖說明圖1是現(xiàn)有技術(shù)中Web漏洞掃描的檢測(cè)方法的流程圖；圖2是本申請(qǐng)Web漏洞掃描的檢測(cè)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖；圖3是本申請(qǐng)一實(shí)施例提供的Web漏洞掃描的檢測(cè)裝置的模塊圖。具體實(shí)施方式這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子。在本申請(qǐng)使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本申請(qǐng)。在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。應(yīng)當(dāng)理解，盡管在本申請(qǐng)可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請(qǐng)范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。如前所述，一般的，安全防護(hù)設(shè)備主要是基于單IP的統(tǒng)計(jì)方式來檢測(cè)Web漏洞掃描的。除了上述單個(gè)源IP的訪問頻率外，還可以單個(gè)源IP和URL訪問頻率、單個(gè)源IP和Cookie在預(yù)設(shè)時(shí)間段內(nèi)攻擊次數(shù)、單個(gè)源IP進(jìn)行行為特征頻率、單個(gè)源IP在預(yù)設(shè)時(shí)間段內(nèi)觸發(fā)HTTP404狀態(tài)次數(shù)等。但是，不管是哪種方式，均是基于單個(gè)源IP的統(tǒng)計(jì)來檢測(cè)Web漏洞掃描的。然而，隨著漏洞掃描技術(shù)的發(fā)展，Web漏洞掃描已經(jīng)從傳統(tǒng)的單機(jī)Web漏洞掃描模式發(fā)展到分布式Web漏洞掃描模式。而在分布式Web漏洞掃描的情況下，攻擊方是可以通過大量的客戶端向Web服務(wù)器進(jìn)行Web漏洞掃描的，而每個(gè)客戶端可能僅掃描少數(shù)幾次，如此上述基于單IP的統(tǒng)計(jì)方式往往無法檢測(cè)出分布式Web漏洞掃描的情況。已所述單個(gè)源IP的訪問頻率為例，由于分布式Web漏洞掃描中，單個(gè)源IP的訪問頻率往往很低，通過遠(yuǎn)遠(yuǎn)小于預(yù)設(shè)閾值，所以無法檢測(cè)出分布式Web漏洞掃描行為。為了解決上述無法檢測(cè)分布式Web漏洞掃描的問題，請(qǐng)參見圖1，為本申請(qǐng)一實(shí)施例提供的Web漏洞掃描的檢測(cè)方法的流程圖，該實(shí)施例從安全防護(hù)設(shè)備側(cè)進(jìn)行描述，包括以下步驟：步驟110：獲取被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征。本實(shí)施例中，所述被檢測(cè)Web目標(biāo)可以為Web服務(wù)器。所述請(qǐng)求和/或應(yīng)答數(shù)據(jù)為訪問所述Web目標(biāo)的客戶端發(fā)送的數(shù)據(jù)。例如，所述客戶端請(qǐng)求訪問Web目標(biāo)時(shí)，可以發(fā)送請(qǐng)求數(shù)據(jù)；再例如，而所述Web目標(biāo)向所述客戶端發(fā)送例如用于驗(yàn)證的請(qǐng)求數(shù)據(jù)后，對(duì)應(yīng)地，所述客戶端也可以返回用于驗(yàn)證的應(yīng)答數(shù)據(jù)。具體地，安全防護(hù)設(shè)備可以是實(shí)時(shí)地對(duì)被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)進(jìn)行監(jiān)控。即所述安全防護(hù)設(shè)備實(shí)時(shí)地獲取所述被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)，并提取所述請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征。當(dāng)然，在其它一些實(shí)施例中，所述安全防護(hù)設(shè)備也可以是非實(shí)時(shí)的。提取所述請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征的方式作為業(yè)內(nèi)通用的技術(shù)，在本申請(qǐng)實(shí)施例中不再贅述。所述行為特征可以是所獲取的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的訪問真實(shí)意圖。通常，分為正常的行為特征(例如登錄、校驗(yàn)、下載等)和非正常的行為特征，一般的將所述非正常的行為特征稱之為攻擊特征(例如包括XSS跨站、SQL注入等)。步驟120：將所述行為特征在預(yù)設(shè)的攻擊特征規(guī)則庫中進(jìn)行匹配。本實(shí)施例中，所述攻擊特征規(guī)則庫中包含攻擊特征和攻擊分值，且所述攻擊特征與攻擊分值一一對(duì)應(yīng)。所述攻擊特征規(guī)則庫中的攻擊特征可以是業(yè)內(nèi)普遍認(rèn)為的用于攻擊的非正常的行為特征。例如上述XSS跨站、SQL注入等。由于攻擊特征太多，在本申請(qǐng)實(shí)施例中就不一一進(jìn)行舉例說明。與所述攻擊特征對(duì)應(yīng)的攻擊分值，可以是人為預(yù)先配置的。例如，A攻擊，配置的攻擊分值為0.5分；B攻擊，配置的攻擊分值為0.7分。通常，人為為攻擊特征配置攻擊分值的時(shí)候，可以根據(jù)該攻擊特征的嚴(yán)重程度進(jìn)行打分。例如，某一個(gè)攻擊特征所造成的嚴(yán)重程度較高，那么對(duì)應(yīng)的攻擊分值也相應(yīng)要配置的高一些；反之，所造成的嚴(yán)重程度較低，那么對(duì)應(yīng)的攻擊分值也相應(yīng)要配置的低一些。假設(shè)，對(duì)于攻擊特征的嚴(yán)重程度分為5個(gè)等級(jí)：Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ。等級(jí)越高嚴(yán)重程度也越高，等級(jí)越低嚴(yán)重程度也越低。對(duì)于等級(jí)為Ⅴ的攻擊特征，顯然配置的攻擊分值就要比其它等級(jí)的要高。為攻擊特征配置攻擊分值的時(shí)候，還可以是根據(jù)攻擊特征的誤報(bào)情況進(jìn)行打分。所述誤報(bào)情況可以是將其它行為特征誤確認(rèn)為該攻擊特征的情況。例如，第一攻擊特征與第二行為特征為比較相似，那么在獲取攻擊特征時(shí)，可能會(huì)將正常的第二行為特征認(rèn)為是該第一攻擊特征。也就是說，對(duì)于可能存在誤報(bào)的攻擊特征，獲取到的該攻擊特征，其實(shí)并不一定真的是該攻擊特征，也可能是其它正常的行為特征或者其它的攻擊特征。所以，對(duì)于誤報(bào)情況較多的攻擊特征，對(duì)應(yīng)的攻擊分值需要相應(yīng)配置的低一些；反之，對(duì)于誤報(bào)情況較少的攻擊特征，對(duì)應(yīng)的攻擊分值需要相應(yīng)配置的高一些。需要說明的是，在實(shí)際應(yīng)用中，攻擊特征還可能存在漏報(bào)的情況。即，實(shí)際存在的攻擊特征，但是實(shí)際獲取時(shí)可能會(huì)存在漏報(bào)了。例如，某一攻擊特征，10次里面僅獲取到了2次該攻擊特征，則說明存在有8次漏報(bào)的情況。所以，針對(duì)漏報(bào)的情況，對(duì)于漏報(bào)情況較多的攻擊特征，對(duì)應(yīng)的攻擊分值需要相應(yīng)配置的高一些；反之，對(duì)于漏報(bào)情況較少的攻擊特征，對(duì)應(yīng)的攻擊分值需要相應(yīng)配置的低一些。值得一提的是，所述攻擊特征規(guī)則庫中的攻擊特征可以人為進(jìn)行操作，例如增加新的攻擊特征，相應(yīng)配置對(duì)應(yīng)的攻擊分值；刪除已有的攻擊特征，將對(duì)應(yīng)的攻擊分值也刪除；修改已有的攻擊特征，視該修改的攻擊特征情況可以修改攻擊分值也可以不修改攻擊分值。步驟130：根據(jù)命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值，統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所述被檢測(cè)Web目標(biāo)的攻擊總分值。本實(shí)施例中，安全防護(hù)設(shè)備在進(jìn)行匹配后，可以根據(jù)命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值，統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所述被檢測(cè)Web目標(biāo)的攻擊總分值。所述預(yù)設(shè)時(shí)長(zhǎng)可以是人為預(yù)先設(shè)置的一個(gè)經(jīng)驗(yàn)值。例如，統(tǒng)計(jì)半小時(shí)(預(yù)設(shè)時(shí)長(zhǎng))內(nèi)所述被檢測(cè)Web目標(biāo)的攻擊總分值。具體地，所述步驟130，可以包括如下步驟：A1：統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值；所述單一攻擊分值為該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值之和；A2：將所有單個(gè)源IP的單一攻擊分值相加，得到所述被檢測(cè)Web目標(biāo)的攻擊總分值。本實(shí)施例中，所述攻擊總分值可以是在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值的總和。所述單一攻擊分值可以是單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值之和。具體地，所述單一攻擊分值可以通過如下方式得到：獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的行為特征的第一分值；將所有命中的行為特征所得到的第一分值相加，得到該單個(gè)源IP的單一攻擊分值。為了方便理解，以下舉例加以說明：安全防護(hù)設(shè)備獲取被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征為：1.行為特征：a，源IP：A，時(shí)間：12：25；2.行為特征：a，源IP：B，時(shí)間：12：26；3.行為特征：a，源IP：A，時(shí)間：12：31；4.行為特征：b，源IP：C，時(shí)間：12：35；5.行為特征：a，源IP：B，時(shí)間：12：37；6.行為特征：d，源IP：A，時(shí)間：12：40；7.行為特征：a，源IP：B，時(shí)間：12：48；8.行為特征：c，源IP：B，時(shí)間：12：51；9.行為特征：c，源IP：A，時(shí)間：12：59；10.行為特征：e，源IP：C，時(shí)間：13：10。以當(dāng)前時(shí)間為13：00為例，預(yù)設(shè)時(shí)長(zhǎng)為30分鐘，預(yù)設(shè)的攻擊特征規(guī)則庫如下表1所示：攻擊特征攻擊分值a0.8b0.5d0.4e0.9首先，將上述10個(gè)行為特征在表1所示的攻擊特征規(guī)則庫中進(jìn)行匹配，由于表1中具有攻擊特征a，b，d，e，所以序號(hào)1、2、3、4、5、6、7、10的行為特征命中。進(jìn)一步的，根據(jù)匹配命中的行為特征，統(tǒng)計(jì)30分鐘內(nèi)的攻擊總分值。而符合30分鐘內(nèi)(12：30至13：00)的序號(hào)3、4、5、6、7；源IP包括A、B、C。統(tǒng)計(jì)30分鐘內(nèi)源IP為A(序號(hào)3和6)的單一攻擊分值，0.8分*1次+0.4*1次＝1.2分；統(tǒng)計(jì)30分鐘內(nèi)源IP為B(序號(hào)5、7)的單一攻擊分值，0.8分*2次＝1.6分；統(tǒng)計(jì)30分鐘內(nèi)源IP為C(序號(hào)4)的單一攻擊分值，0.5分*1次＝0.5分；之后，將所有單個(gè)源IP即A、B、C的單一攻擊分值相加，得到所述被檢測(cè)Web目標(biāo)的攻擊總分值，1.2分+1.6分+0.5分＝3.3分。步驟140：在所述攻擊總分值大于預(yù)設(shè)閾值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果。本實(shí)施例中，所述預(yù)設(shè)閾值可以是人為預(yù)先設(shè)置的一個(gè)經(jīng)驗(yàn)值。如果所述攻擊總分值大于預(yù)設(shè)閾值，則可以得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果；如果所述攻擊總分值不大于預(yù)設(shè)閾值，則說明所述被檢測(cè)Web目標(biāo)沒有遭受分布式Web漏洞掃描。這種情況下，所述安全防護(hù)設(shè)備可以輸出一個(gè)所述被檢測(cè)Web目標(biāo)沒有遭受分布式Web漏洞掃描的檢測(cè)結(jié)果，也可以不做處理。通過本申請(qǐng)實(shí)施例中，利用預(yù)先在攻擊特征規(guī)則庫中對(duì)攻擊特征進(jìn)行打分，從而使得預(yù)設(shè)的攻擊特征規(guī)則庫中包含攻擊特征和攻擊分值，并且所述攻擊特征與攻擊分值一一對(duì)應(yīng)。如此，在對(duì)被檢測(cè)Web目標(biāo)進(jìn)行檢測(cè)時(shí)，可以將所述被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征在所述預(yù)設(shè)的攻擊特征規(guī)則庫中進(jìn)行匹配，根據(jù)命中的行為特征對(duì)應(yīng)的攻擊分值來統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)該被檢測(cè)Web目標(biāo)的攻擊總分值；在所述攻擊總分值大于預(yù)設(shè)閾值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果。由于所述攻擊總分值是統(tǒng)計(jì)了所有源IP命中攻擊特征規(guī)則庫的情況，所以可以實(shí)現(xiàn)檢測(cè)出分布式Web漏洞掃描的情況，避免了僅根據(jù)單個(gè)源IP來作為檢測(cè)Web漏洞掃描的依據(jù)。在本申請(qǐng)的另一個(gè)具體地實(shí)施例中，基于上述實(shí)施例的基礎(chǔ)上，在所述步驟A1：統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值之后，所述方法還包括：從所述所有單個(gè)源IP的單一攻擊分值中，篩選出分值最高的單一攻擊分值；在所述分值最高的單一攻擊分值大于預(yù)設(shè)分值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受來自所述分值最高的單一攻擊分值所對(duì)應(yīng)的源IP的Web漏洞掃描的檢測(cè)結(jié)果。本實(shí)施例中，所述預(yù)設(shè)分值可以是人為預(yù)先設(shè)置的一個(gè)經(jīng)驗(yàn)值，可以用于衡量單一源IP是否存在Web漏洞掃描的情況。沿用上述實(shí)施例中步驟130中的例子加以說明。統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值為：源IP為A的單一攻擊分值＝1.2分；源IP為B的單一攻擊分值＝1.6分；源IP為C的單一攻擊分值＝0.5分。其中，分值最高的單一攻擊分值即為源IP為B的單一攻擊分值。如果源IP為B的單一攻擊分值1.6分大于預(yù)設(shè)分值，則說明源IP為B符合Web漏洞掃描的情況，則安全防護(hù)設(shè)備可以得出所述被檢測(cè)Web目標(biāo)遭受來自所述分值最高的單一攻擊分值所對(duì)應(yīng)的源IP的Web漏洞掃描的檢測(cè)結(jié)果。反之，如果源IP為B的單一攻擊分值1.6分不大于預(yù)設(shè)分值，則說明源IP為B不符合Web漏洞掃描的情況，則安全防護(hù)設(shè)備可以得出所述被檢測(cè)Web目標(biāo)沒有遭受來自B的Web漏洞掃描的檢測(cè)結(jié)果，或者也可以不輸出檢測(cè)結(jié)果。通過本實(shí)施例，可以檢測(cè)出單個(gè)源IP的Web漏洞掃描的行為。在實(shí)際應(yīng)用中，如果一個(gè)攻擊特征重復(fù)被命中，而該攻擊特征又不是很重要(如嚴(yán)重程度較低、誤報(bào)較多)，但是重復(fù)命中了好多次，這樣最后統(tǒng)計(jì)得到的攻擊總分值很可能超過了預(yù)設(shè)閾值。例如，A是一個(gè)誤報(bào)較多的攻擊特征，如果A重復(fù)被命中了100次，并且統(tǒng)計(jì)得到的攻擊總分值超過了預(yù)設(shè)閾值，然而真實(shí)情況其實(shí)由于誤報(bào)，90次都是正常的行為特征，僅有10次是A，這樣得出存在Web漏洞掃描的檢測(cè)結(jié)果顯然是不準(zhǔn)確的。再例如，B是一個(gè)嚴(yán)重程度很高的攻擊特征，如果B重復(fù)被命中了5次，并且統(tǒng)計(jì)得到的攻擊總分值沒有超過預(yù)設(shè)閾值，所以無法得到存在Web漏洞掃描的檢測(cè)結(jié)果，但是由于B嚴(yán)重程度太高，如果放任不管，可能會(huì)造成嚴(yán)重后果。為了解決上述問題，在本申請(qǐng)的又一個(gè)具體地實(shí)施例中，所述單一攻擊分值，可以通過如下方式得到：獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；在命中次數(shù)等于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的攻擊特征的第二分值；在命中次數(shù)大于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)后，再乘以權(quán)重值，得到該命中的攻擊特征的第三分值；將所有命中的行為特征所得到的第二分值和第三分值相加，得到該單個(gè)源IP的單一攻擊分值。本實(shí)施例中，所述權(quán)重值可以是人為預(yù)先設(shè)置的一個(gè)經(jīng)驗(yàn)值。在實(shí)際應(yīng)用中，可以根據(jù)攻擊特征的重要程度來設(shè)置權(quán)重值。例如，一個(gè)攻擊特征并不是很重要，那么可以在該攻擊特征被重復(fù)命中時(shí)弱化攻擊分值，即可以設(shè)置一個(gè)權(quán)重值，且該權(quán)重值范圍可以是(0,1)；一個(gè)攻擊特征很重要，那么可以在該攻擊特征被重復(fù)命中時(shí)強(qiáng)化攻擊分值，即可以設(shè)置一個(gè)權(quán)重值，且該權(quán)重值范圍可以是大于1。繼續(xù)沿用上述實(shí)施例中步驟130中的例子，假設(shè)攻擊特征a不是很重要，設(shè)置的權(quán)重值為0.2。那么，統(tǒng)計(jì)30分鐘內(nèi)源IP為B(序號(hào)5、7)的單一攻擊分值，0.8分*2次*0.2＝0.32分。通過本申請(qǐng)實(shí)施例，對(duì)重復(fù)被命中的攻擊特征可以設(shè)置權(quán)重值的方式，強(qiáng)化或者弱化攻擊分值，如此可以避免統(tǒng)計(jì)重復(fù)被命中的攻擊特征的攻擊分值時(shí)的影響。使得最后得出的攻擊總分值更加準(zhǔn)確，即提高了最終檢測(cè)結(jié)果的準(zhǔn)確性。與前述Web漏洞掃描的檢測(cè)方法實(shí)施例相對(duì)應(yīng)，本申請(qǐng)還提供了Web漏洞掃描的檢測(cè)裝置的實(shí)施例。本申請(qǐng)Web漏洞掃描的檢測(cè)裝置的實(shí)施例可以分別應(yīng)用在安全防護(hù)設(shè)備上。裝置實(shí)施例可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過其所在設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言，如圖2所示，為本申請(qǐng)Web漏洞掃描的檢測(cè)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖2所示的處理器、網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲(chǔ)器之外，實(shí)施例中裝置所在的設(shè)備通常根據(jù)該Web漏洞掃描的檢測(cè)的實(shí)際功能，還可以包括其他硬件。請(qǐng)參見圖3，為本申請(qǐng)一實(shí)施例提供的Web漏洞掃描的檢測(cè)裝置的模塊圖，所述裝置可以包括：獲取單元310、匹配單元320、統(tǒng)計(jì)單元330及檢測(cè)單元340。其中，所述獲取單元310，用于獲取被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征；所述匹配單元320，用于將所述行為特征在預(yù)設(shè)的攻擊特征規(guī)則庫中進(jìn)行匹配；所述攻擊特征規(guī)則庫中包含攻擊特征和攻擊分值，且所述攻擊特征與攻擊分值一一對(duì)應(yīng)；所述統(tǒng)計(jì)單元330，用于根據(jù)命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值，統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所述被檢測(cè)Web目標(biāo)的攻擊總分值；所述檢測(cè)單元340，用于在所述攻擊總分值大于預(yù)設(shè)閾值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果。在一個(gè)可選的實(shí)現(xiàn)方式中：所述統(tǒng)計(jì)單元330，具體可以包括：第一統(tǒng)計(jì)子單元，用于統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)所有訪問所述被檢測(cè)Web目標(biāo)的單個(gè)源IP的單一攻擊分值；所述單一攻擊分值為該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值之和；第二統(tǒng)計(jì)子單元，用于將所有單個(gè)源IP的單一攻擊分值相加，得到所述被檢測(cè)Web目標(biāo)的攻擊總分值。在一個(gè)可選的實(shí)現(xiàn)方式中：在所述第一統(tǒng)計(jì)子單元之后，所述裝置還可以包括：篩選子單元，用于從所述所有單個(gè)源IP的單一攻擊分值中，篩選出分值最高的單一攻擊分值；檢測(cè)子單元，用于在所述分值最高的單一攻擊分值大于預(yù)設(shè)分值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受來自所述分值最高的單一攻擊分值所對(duì)應(yīng)的源IP的Web漏洞掃描的檢測(cè)結(jié)果。在一個(gè)可選的實(shí)現(xiàn)方式中：所述第一統(tǒng)計(jì)子單元，具體可以包括：獲取子單元，用于獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；第一計(jì)算子單元，用于將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的行為特征的第一分值；求和子單元，用于將所有命中的行為特征所得到的第一分值相加，得到該單個(gè)源IP的單一攻擊分值。在一個(gè)可選的實(shí)現(xiàn)方式中：所述第一統(tǒng)計(jì)子單元，具體可以包括：獲取子單元，用于獲取該單個(gè)源IP命中所述攻擊特征規(guī)則庫的行為特征對(duì)應(yīng)的攻擊分值及命中次數(shù)；第二計(jì)算子單元，用于在命中次數(shù)等于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)，得到該命中的攻擊特征的第二分值；第三計(jì)算子單元，用于在命中次數(shù)大于1的情況下，將所命中的行為特征對(duì)應(yīng)的攻擊分值乘以命中次數(shù)后，再乘以權(quán)重值，得到該命中的攻擊特征的第三分值；求和子單元，用于將所有命中的行為特征所得到的第二分值和第三分值相加，得到該單個(gè)源IP的單一攻擊分值。綜上所述，通過本申請(qǐng)實(shí)施例中，利用預(yù)先在攻擊特征規(guī)則庫中對(duì)攻擊特征進(jìn)行打分，從而使得預(yù)設(shè)的攻擊特征規(guī)則庫中包含攻擊特征和攻擊分值，并且所述攻擊特征與攻擊分值一一對(duì)應(yīng)。如此，在對(duì)被檢測(cè)Web目標(biāo)進(jìn)行檢測(cè)時(shí)，可以將所述被檢測(cè)Web目標(biāo)的請(qǐng)求和/或應(yīng)答數(shù)據(jù)的行為特征在所述預(yù)設(shè)的攻擊特征規(guī)則庫中進(jìn)行匹配，根據(jù)命中的行為特征對(duì)應(yīng)的攻擊分值來統(tǒng)計(jì)預(yù)設(shè)時(shí)長(zhǎng)內(nèi)該被檢測(cè)Web目標(biāo)的攻擊總分值；在所述攻擊總分值大于預(yù)設(shè)閾值的情況下，得出所述被檢測(cè)Web目標(biāo)遭受分布式Web漏洞掃描的檢測(cè)結(jié)果。由于所述攻擊總分值是統(tǒng)計(jì)了所有源IP命中攻擊特征規(guī)則庫的情況，所以可以實(shí)現(xiàn)檢測(cè)出分布式Web漏洞掃描的情況，避免了僅根據(jù)單個(gè)源IP來作為檢測(cè)Web漏洞掃描的依據(jù)。上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過程，在此不再贅述。對(duì)于裝置實(shí)施例而言，由于其基本對(duì)應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請(qǐng)方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。本領(lǐng)域技術(shù)人員在考慮說明書及實(shí)踐這里公開的發(fā)明后，將容易想到本申請(qǐng)的其它實(shí)施方案。本申請(qǐng)旨在涵蓋本申請(qǐng)的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本申請(qǐng)的一般性原理并包括本申請(qǐng)未公開的本
技術(shù)領(lǐng)域：
中的公知常識(shí)或慣用技術(shù)手段。說明書和實(shí)施例僅被視為示例性的，本申請(qǐng)的真正范圍和精神由下面的權(quán)利要求指出。應(yīng)當(dāng)理解的是，本申請(qǐng)并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍進(jìn)行各種修改和改變。本申請(qǐng)的范圍僅由所附的權(quán)利要求來限制。當(dāng)前第1頁1 2 3