[发明专利]一种云防护环境下网站扫描检测方法、系统及设备

权利要求书

1.一种云防护环境下的网站扫描检测方法，其特征在于，包括：

从云防护引擎采集目标网站的访问日志；

利用基于机器学习的行为识别模型确定所述访问日志对应的行为类型；

在所述行为类型为扫描行为时，判断当前IP是否达到封锁条件，其中所述当前IP为所述访问日志中记录的向所述目标网站发起访问的IP，所述封锁条件为：在预设时间范围内所述目标网站被访问的次数超过第一阈值，且，在所述预设时间范围内所述目标网站的响应码中403和404的占比超过第二阈值；

若是，则在网络层对所述当前IP进行封锁。

2.如权利要求1所述的方法，其特征在于，在所述从云防护引擎采集目标网站的访问日志之前，还包括：

根据配置信息，确定目标网站，并将所述目标网站的访问流量引流至云防护引擎，其中所述配置信息包括：域名、IP、端口号。

3.如权利要求2所述的方法，其特征在于，所述配置信息还包括告警参数，在所述在网络层对所述当前IP进行封锁之后，还包括：

获取所述目标网站的告警参数，根据所述告警参数进行告警，其中所述告警参数包括以下任意一项或多项：告警方式、告警联系人、告警时间。

4.如权利要求1所述的方法，其特征在于，在所述在网络层对所述当前IP进行封锁之后，还包括：

生成封锁记录，其中所述封锁记录包括以下信息：当前IP、封锁时间、目标网站。

5.如权利要求4所述的方法，其特征在于，所述在网络层对所述当前IP进行封锁，包括：

根据历史封锁记录，确定所述当前IP被封锁的次数；根据所述次数确定本次封锁时间，并在网络层对所述当前IP进行封锁。

6.一种云防护环境下的网站扫描检测系统，其特征在于，包括：

大数据日志平台：用于从云防护引擎采集目标网站的访问日志；

分析检测模块：用于利用基于机器学习的行为识别模型确定所述访问日志对应的行为类型；在所述行为类型为扫描行为时，判断当前IP是否达到封锁条件，其中所述当前IP为所述访问日志中记录的向所述目标网站发起访问的IP，所述封锁条件为：在预设时间范围内所述目标网站被访问的次数超过第一阈值，且，在所述预设时间范围内所述目标网站的响应码中403和404的占比超过第二阈值；

扫描检测管理平台：用于在当前IP达到封锁条件时，在网络层对所述当前IP进行封锁。

7.如权利要求6所述的系统，其特征在于，所述扫描检测管理平台还用于：

根据配置信息，确定目标网站，并将所述目标网站的访问流量引流至云防护引擎，其中所述配置信息包括：域名、IP、端口号。

8.如权利要求6所述的系统，其特征在于，还包括：

告警服务器：用于获取所述目标网站的告警参数，根据所述告警参数进行告警，其中所述告警参数包括以下任意一项或多项：告警方式、告警联系人、告警时间。

9.一种云防护环境下的网站扫描检测设备，其特征在于，包括：

存储器：用于存储计算机程序；

处理器：用于执行所述计算机程序，以实现如权利要求1-5任意一项所述的云防护环境下网站扫描检测方法。

10.一种可读存储介质，其特征在于，所述可读存储介质存储有计算机程序，所述计算机程序被处理器执行时用于实现如权利要求1-5任意一项所述的云防护环境下网站扫描检测方法。