[发明专利]一种扫描器识别方法、装置及系统

说明书

本申请涉及计算机领域，特别涉及了一种扫描器识别方法、装置及系统，用以提高Web应用的安全防护性能。该方法为：获取待解析日志文件，该待解析日志文件中记录了客户侧和网络侧交互的访问数据记录，所述访问数据记录中记录了一种或多种属性的相应取值，至少一种取值中包括一个或多个参数，参数的取值称为参数值；统计所述待解析日志文件中各个参数的取值即参数值的出现次数，并基于各个参数值的出现次数，识别扫描器。这样，便可以从网络流量层入手，基于提取到的各个参数值在不同环境下的出现次数，识别出扫描器的访问请求的发送方式，从而提取出扫描器进行攻击时的核心特征，进而能够及时实现有效的Web应用安全防护，提高了系统可靠性。

技术领域

本申请涉及计算机领域，特别涉及了一种扫描器识别方法、装置及系统。

背景技术

随着Web应用的日益普遍，Web层面的攻击越来越多，如，跨站脚本攻击(CrossSite Scripting，XSS)、结构化查询语言(Structured Query Language，SQL)注入等等。同时，Web应用所依赖的基础软件，出现的漏洞也是层出不穷。由于公共云环境的开放性特点，漏洞若没有被及时修复，就能够很快被黑客发现并利用，带来很大安全风险。

当前，实现Web应用防护最主要的安全产品是网站应用防护系统(WebApplication Firewall，WAF)，而WAF对于攻击访问请求的识别主要是通过规则过滤实现的，但是过多的规则会降低WAF防护的效果。

另一方面，当前扫描器器〔如，Sql地图(SqlMap)〕的使用非常普遍。所谓扫描器，是一种自动检测远程或本地主机安全性弱点的程序，大体可以分为“客户端使用”和“服务器使用”两大类。通过使用扫描器可以丝毫不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务。

例如，“客户端使用”的扫描器可以用于识别以下内容：网络设备类型(如，路由器或普通服务器)、操作系统类型和版本(如，Linux、Windows等等)、基础软件(如，应用服务器、数据库)的类型和版本，Web应用的类型〔如，是否为常见的内容管理体系(ContentManagement System，CMS等〕。

而采用的识别方法主要基于已知的特征库进行识别，其中，特征库中主要记录了以下内容：网络行为、超级文本传送协议(Hyper Text Transport Protocol，HTTP)、特定路径的统一资源定位符(Uniform Resource Locator，URL)及返回内容，等等。

又例如，“服务器使用”的扫描器可以用于执行以下操作：识别各种类型的扫描器，并提取相应的行为特征。

目前，无论是哪一类的扫描器，都还没有通用的识别方法，主要是由安全人员根据经验或以往出现的攻击特征，构造扫描规则并在扫描器进行配置。

然而，扫描器也可以为黑客所用。黑客发起攻击前，经常使用扫描器，使用已知漏洞特征或未知漏洞特征，进行大范围的攻击性访问请求(也可以称为漏洞扫描)，并根据Web应用返回的结果判断是否存在可被利用的漏洞，从而有针对性的发起攻击。

现有的扫描器所采用的扫描规则，主要是依赖安全人员的经验设置的，这需要安全人员对大多数扫描器的工作原理有足够了解，并且可以收集到足够的扫描器访问日志，以便于进行特征提取，不具备普遍性。

另外，黑客利用扫描器进行漏洞扫描时，经常开发新的攻击访问请求，来识别Web应用是否存在相应的新的漏洞。而对于新的漏洞，安全人员不可能全部知晓，即使知晓也来不及设置相应的扫描规则进行防御，因此，在安全防护上存在一定的滞后性。

发明内容

本申请实施例提供一种扫描器的识别方法、装置及系统，用以提高Web应用的安全防护的及时性和可靠性。

本申请实施例提供的具体技术方案如下：