本發明涉及一種基于行為識別的掃描類攻擊處置方法，統計t時間內所有IP針對任一網頁的異常訪問頻次a、錯誤狀態碼觸發頻次b和攻擊行為頻次c，若滿足告警規則且存在任一IP觸發攔截機制，則對此IP進行掃描IP威脅情報庫匹配，無匹配項時對當前IP直接攔截時間T并將當前IP及關聯信息更新至掃描IP威脅情報庫，當有匹配項時，查詢掃描IP威脅情報庫中當前IP上一次被攔截的時間T_n，以其平方值對當前IP進行攔截，更新數據。本發明采用行為識別的算法匹配掃描行為，準確率高，參考異常訪問頻次a、錯誤狀態碼觸發頻次b和攻擊行為頻次c的數據，出現誤報的概率低，在可控時間內完成掃描行為的識別和攔截，識別速度快。

技術領域

本發明涉及數字信息的傳輸，例如電報通信的技術領域，特別涉及一種誤報率和漏報率都較低的基于行為識別的掃描類攻擊處置方法。

背景技術

網絡技術的應用已深刻影響、改變了人們的生產方式和生活方式，推動了社會各個方面的進步與發展，并在國民經濟各個領域起著重要的推動和支撐作用。隨著網絡化程度的加深，黑客為了牟取利益，對于互聯網的攻擊也逐漸升級。

現有技術中，黑客在攻擊互聯網網站時，一般會先使用自動化掃描工具對目標服務器進行探測和踩點，以獲取對實施攻擊有價值的漏洞和信息，為下一步實施攻擊做好準備，通過自動化工具攻擊使得攻擊成本變低；同時，國內眾多監管機構也對互聯網網站進行監測與檢查，以發現網站服務器漏洞，通過數據分析掃描攻擊占整體攻擊的比例為90%，因此對掃描類攻擊需要有效防護。

專利號為201210313458.3的發明公開了一種判定自動掃描行為的方法及裝置專利，該方法包括：在設定周期內，采集選定發送端向選定網站服務器發送的訪問請求消息和選定網站服務器向選定發送端返回的訪問響應消息；將設定周期等分為至少兩個設定子周期，依次統計每個設定子周期內訪問請求消息的個數，確定選定發送端的請求可信值；統計采集的訪問響應消息中成功響應消息的個數和失敗響應消息的個數，確定選定發送端的響應可信值；根據確定的請求可信值、響應可信值、第一權重和第二權重，計算在設定周期內選定發送端的綜合評估值；將綜合評估值與第一設定閾值進行比較，判定選定發送端是否發生了自動掃描行為。

然而，這篇專利中只判斷了請求消息和響應消息的統計，并沒有說明其具體比例，除此之外，技術方案中也沒有對訪問文件中缺少圖片和樣式文件的訪問判斷和訪問攻擊的比例進行判斷，當采用對一定時間內發起請求的頻率進行識別時，極容易造成掃描類攻擊的誤報及漏報。誤報，指對于某些出口IP訪問量比較大的會誤攔截，而漏報，指當攻擊者將頻率調低后將無法識別。

發明內容

為了解決現有技術中，對于掃描類攻擊的誤報率和漏報率較高的問題，本發明提供一種優化的基于行為識別的掃描類攻擊處置方法。

本發明所采用的技術方案是，一種基于行為識別的掃描類攻擊處置方法，所述方法包括以下步驟：

步驟1：統計t時間內，所有IP針對任一網頁的異常訪問頻次a、錯誤狀態碼觸發頻次b和攻擊行為頻次c；0＜t≤2min；

步驟2：若連續t時間內異常訪問頻次a、錯誤狀態碼觸發頻次b或攻擊行為頻次c滿足告警規則，告警；

步驟3：當存在任一IP觸發攔截機制，進行下一步，否則，返回步驟1；