本申請涉及一種機器掃描的檢測方法、裝置、電子設(shè)備和存儲介質(zhì)，所述一種機器掃描的檢測方法包括：響應(yīng)于客戶端的訪問行為，獲取所述客戶端的訪問請求；根據(jù)所述訪問請求，計算所述客戶端在預設(shè)時間內(nèi)的離散度；根據(jù)所述離散度，確定所述客戶端的訪問行為是否為機器掃描。解決了傳統(tǒng)的機器掃描的檢測方法存在檢測準確率和靈敏度低的問題，達到了提高機器掃描檢測的準確率和靈敏度的技術(shù)效果。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種機器掃描的檢測方法、裝置、電子設(shè)備和存儲介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)與應(yīng)用的不斷發(fā)展，WEB應(yīng)用已經(jīng)逐漸成為了現(xiàn)代人們生產(chǎn)生活不可缺失的一個方面，同時它也成為了互聯(lián)網(wǎng)上的主要攻擊。機器掃描是一種信息收集的手段，用于攻擊者使用惡意程序或惡意腳本等自動化工具針對web服務(wù)的應(yīng)用層攻擊前，自動化攻擊包括漏洞掃描、目錄爆破和網(wǎng)絡(luò)爬蟲爬取等。

傳統(tǒng)的機器掃描的檢測，通常通過測量IP的請求速度，當IP的請求速度達到設(shè)定閾值時，判定使用這個IP的客戶端的訪問行為是機器掃描。然而，出口公網(wǎng)IP地址數(shù)量有限，往往一個公網(wǎng)IP地址，背后的真實客戶端可能成百上千。同時，因為機器掃描成本較低，攻擊者也可以不需要特別快的掃描速度，所以攻擊者可以將機器掃描的速度進行調(diào)整后，繞過檢測系統(tǒng)。如上所述，傳統(tǒng)的機器掃描的檢測方法存在檢測準確率和靈敏度低的問題。

目前針對傳統(tǒng)的機器掃描的檢測方法存在檢測準確率和靈敏度低的問題，尚未提出有效的解決方案。

發(fā)明內(nèi)容

基于此，有必要針對上述傳統(tǒng)的機器掃描的檢測方法存在檢測準確率和靈敏度低的問題，提供一種機器掃描的檢測方法、裝置、電子設(shè)備和存儲介質(zhì)。

第一方面，本申請實施例提供一種機器掃描的檢測方法，該方法包括：

響應(yīng)于客戶端的訪問行為，獲取該客戶端的訪問請求；

根據(jù)該訪問請求，計算該客戶端在預設(shè)時間內(nèi)的離散度；

根據(jù)該離散度，確定該客戶端的訪問行為是否為機器掃描。

在其中一個實施例中，該訪問請求中包含客戶端標識和訪問路徑。

在其中一個實施例中，該根據(jù)該離散度，確定該客戶端的訪問行為是否為機器掃描包括：

若該離散度大于或等于預設(shè)閾值，則該客戶端的該訪問行為是機器掃描；

若該離散度小于該預設(shè)閾值，則該客戶端的訪問行為是正常訪問。

在其中一個實施例中，該根據(jù)該訪問請求，計算該客戶端在預設(shè)時間內(nèi)的離散度包括：

根據(jù)該客戶端標識和該訪問路徑，統(tǒng)計該客戶端在預設(shè)時間內(nèi)訪問該訪問路徑的訪問次數(shù)，包括：

若該客戶端初次訪問該訪問路徑，則該訪問次數(shù)為1；

若該客戶端非首次訪問該訪問路徑，則在已有的該訪問次數(shù)上加1；

若該客戶端訪問該訪問路徑的訪問次數(shù)為1，則將該客戶端的離散度加1。

第二方面，本申請實施例提供一種機器掃描的檢測裝置，該裝置包括獲取模塊、計算模塊和確定模塊；

該獲取模塊，用于響應(yīng)于客戶端的訪問行為，獲取該客戶端的訪問請求，其中，該訪問請求中包括客戶端標識和訪問路徑；

該計算模塊，用于根據(jù)該訪問請求，計算該客戶端在預設(shè)時間內(nèi)的離散度；

該確定模塊，用于根據(jù)該離散度，確定該客戶端的訪問行為是否為機器掃描。

在其中一個實施例中，該確定模塊還用于若該離散度大于或等于閾值，則該客戶端的該訪問行為是機器掃描；