本發(fā)明公開了一種掃描攻擊的檢測方法，所述掃描攻擊的檢測方法包括以下步驟：獲取第一流量數(shù)據(jù)，并提取所述第一流量數(shù)據(jù)對應(yīng)的目標(biāo)特征；判斷所述目標(biāo)特征是否與掃描攻擊特征匹配，其中，所述掃描攻擊特征為掃描工具掃描過程中產(chǎn)生的掃描攻擊特征；在所述目標(biāo)特征與掃描攻擊特征不匹配時，通過檢測模型對所述目標(biāo)特征進(jìn)行識別；在所述檢測模型識別所述目標(biāo)特征為掃描攻擊特征時，判定發(fā)生掃描攻擊。本發(fā)明還公開一種掃描攻擊的檢測裝置和計(jì)算機(jī)可讀存儲介質(zhì)。本發(fā)明提高了掃描攻擊的檢測效率。

技術(shù)領(lǐng)域

本發(fā)明涉及通信安全技術(shù)領(lǐng)域，尤其涉及一種掃描攻擊的檢測方法、裝置和計(jì)算機(jī)可讀存儲介質(zhì)。

背景技術(shù)

掃描工具可用于自動檢測遠(yuǎn)程或者主機(jī)上的安全漏洞和具有漏洞的程序。采用掃描工具掃描通常是黑客攻擊的前奏，故需要對掃描工具的掃描攻擊進(jìn)行檢測。

目前，掃描工具的掃描攻擊檢測需要通過人工選取特征進(jìn)行識別，使得掃描攻擊的檢測時間較長，也即現(xiàn)有技術(shù)中存在掃描攻擊的檢測效率低的問題。

發(fā)明內(nèi)容

本發(fā)明的主要目的在于提供一種掃描攻擊的檢測方法、裝置和計(jì)算機(jī)可讀存儲介質(zhì)，旨在解決掃描攻擊的檢測效率低的問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種掃描攻擊的檢測方法，所述掃描攻擊的檢測方法包括以下步驟：

獲取第一流量數(shù)據(jù)，并提取所述第一流量數(shù)據(jù)對應(yīng)的目標(biāo)特征；

判斷所述目標(biāo)特征是否與掃描攻擊特征匹配，其中，所述掃描攻擊特征為掃描工具掃描過程中產(chǎn)生的掃描攻擊特征；

在所述目標(biāo)特征與掃描攻擊特征不匹配時，通過檢測模型對所述目標(biāo)特征進(jìn)行識別；

在所述檢測模型識別所述目標(biāo)特征為掃描攻擊特征時，判定發(fā)生掃描攻擊。

在一實(shí)施例中，所述判斷所述目標(biāo)特征是否與掃描攻擊特征匹配的步驟包括：

獲取所述目標(biāo)特征對應(yīng)的第一參數(shù)值，其中，所述目標(biāo)特征為階段性行為特征或持續(xù)性行為特征；

判斷所述第一參數(shù)值是否匹配預(yù)設(shè)閾值，其中，所述預(yù)設(shè)閾值根據(jù)所述掃描攻擊特征確定，所述第一參數(shù)值不匹配預(yù)設(shè)閾值時，判定所述目標(biāo)特征與掃描攻擊特征不匹配。

在一實(shí)施例中，所述判斷所述目標(biāo)特征是否與掃描攻擊特征匹配的步驟包括：

確定所述目標(biāo)特征的各個第二參數(shù)值，其中，所述目標(biāo)特征為持續(xù)性行為特征；

確定每類參數(shù)對應(yīng)的第二參數(shù)值的數(shù)量，并確定每類參數(shù)對應(yīng)的數(shù)量與第二參數(shù)值的總數(shù)量之間的比值；

根據(jù)每類參數(shù)對應(yīng)的權(quán)重以及所述比值進(jìn)行加權(quán)計(jì)算得到分值；

判斷所述分值是否大于預(yù)設(shè)分值，其中，在所述分值小于或等于所述預(yù)設(shè)分值，判定所述目標(biāo)特征與所述掃描攻擊特征不匹配。

在一實(shí)施例中，所述判斷所述目標(biāo)特征是否與掃描攻擊特征匹配的步驟包括：

從所述目標(biāo)特征中提取字段，其中，所述目標(biāo)特征為表象特征；

判斷所述字段是否與預(yù)設(shè)字段匹配，其中，在所述字段與預(yù)設(shè)字段匹配時，判定所述目標(biāo)特征與所述掃描攻擊特征不匹配。

在一實(shí)施例中，所述判斷所述目標(biāo)特征是否與掃描攻擊特征匹配的步驟之后，還包括：

在所述目標(biāo)特征與掃描攻擊特征匹配時，判定發(fā)生掃描攻擊。

在一實(shí)施例中，所述獲取第一流量數(shù)據(jù)的步驟之前，還包括：

獲取各個訓(xùn)練特征以及每個所述訓(xùn)練特征對應(yīng)的標(biāo)簽；