本申請涉及計算機領域，特別涉及了一種掃描器識別方法、裝置及系統，用以提高Web應用的安全防護性能。該方法為：獲取待解析日志文件，該待解析日志文件中記錄了客戶側和網絡側交互的訪問數據記錄，所述訪問數據記錄中記錄了一種或多種屬性的相應取值，至少一種取值中包括一個或多個參數，參數的取值稱為參數值；統計所述待解析日志文件中各個參數的取值即參數值的出現次數，并基于各個參數值的出現次數，識別掃描器。這樣，便可以從網絡流量層入手，基于提取到的各個參數值在不同環境下的出現次數，識別出掃描器的訪問請求的發送方式，從而提取出掃描器進行攻擊時的核心特征，進而能夠及時實現有效的Web應用安全防護，提高了系統可靠性。

技術領域

本申請涉及計算機領域，特別涉及了一種掃描器識別方法、裝置及系統。

背景技術

隨著Web應用的日益普遍，Web層面的攻擊越來越多，如，跨站腳本攻擊(CrossSite Scripting，XSS)、結構化查詢語言(Structured Query Language，SQL)注入等等。同時，Web應用所依賴的基礎軟件，出現的漏洞也是層出不窮。由于公共云環境的開放性特點，漏洞若沒有被及時修復，就能夠很快被黑客發現并利用，帶來很大安全風險。

當前，實現Web應用防護最主要的安全產品是網站應用防護系統(WebApplication Firewall，WAF)，而WAF對于攻擊訪問請求的識別主要是通過規則過濾實現的，但是過多的規則會降低WAF防護的效果。

另一方面，當前掃描器器〔如，Sql地圖(SqlMap)〕的使用非常普遍。所謂掃描器，是一種自動檢測遠程或本地主機安全性弱點的程序，大體可以分為“客戶端使用”和“服務器使用”兩大類。通過使用掃描器可以絲毫不留痕跡的發現遠程服務器的各種TCP端口的分配及提供的服務。

例如，“客戶端使用”的掃描器可以用于識別以下內容：網絡設備類型(如，路由器或普通服務器)、操作系統類型和版本(如，Linux、Windows等等)、基礎軟件(如，應用服務器、數據庫)的類型和版本，Web應用的類型〔如，是否為常見的內容管理體系(ContentManagement System，CMS等〕。

而采用的識別方法主要基于已知的特征庫進行識別，其中，特征庫中主要記錄了以下內容：網絡行為、超級文本傳送協議(Hyper Text Transport Protocol，HTTP)、特定路徑的統一資源定位符(Uniform Resource Locator，URL)及返回內容，等等。

又例如，“服務器使用”的掃描器可以用于執行以下操作：識別各種類型的掃描器，并提取相應的行為特征。

目前，無論是哪一類的掃描器，都還沒有通用的識別方法，主要是由安全人員根據經驗或以往出現的攻擊特征，構造掃描規則并在掃描器進行配置。

然而，掃描器也可以為黑客所用。黑客發起攻擊前，經常使用掃描器，使用已知漏洞特征或未知漏洞特征，進行大范圍的攻擊性訪問請求(也可以稱為漏洞掃描)，并根據Web應用返回的結果判斷是否存在可被利用的漏洞，從而有針對性的發起攻擊。

現有的掃描器所采用的掃描規則，主要是依賴安全人員的經驗設置的，這需要安全人員對大多數掃描器的工作原理有足夠了解，并且可以收集到足夠的掃描器訪問日志，以便于進行特征提取，不具備普遍性。

另外，黑客利用掃描器進行漏洞掃描時，經常開發新的攻擊訪問請求，來識別Web應用是否存在相應的新的漏洞。而對于新的漏洞，安全人員不可能全部知曉，即使知曉也來不及設置相應的掃描規則進行防御，因此，在安全防護上存在一定的滯后性。

發明內容

本申請實施例提供一種掃描器的識別方法、裝置及系統，用以提高Web應用的安全防護的及時性和可靠性。

本申請實施例提供的具體技術方案如下：