恶意系统漏洞扫描器的识别方法和装置与流程

本申请涉及通信技术领域，尤其涉及一种恶意系统漏洞扫描器的识别方法和装置。

背景技术：

随着互联网的高速发展，利用系统漏洞进行攻击的网络安全事件越来越严重，攻击的危害和影响范围也越来越大。通常，攻击者会先利用系统漏洞扫描器进行漏洞扫描以获取系统漏洞，再利用获取到的系统漏洞进行攻击。因此为了防范恶意的漏洞扫描，快速准确地识别恶意系统漏洞扫描器非常必要。

技术实现要素：

有鉴于此，本申请提供一种恶意系统漏洞扫描器的识别方法和装置，以解决相关技术中无法快速准确地识别恶意系统漏洞扫描器的问题。

具体地，本申请是通过如下技术方案实现的：

第一方面，本申请提供一种恶意系统漏洞扫描器的识别方法，所述方法包括：

在接收到面向预设检测端口的访问请求时，将所述访问请求的源IP地址作为可疑IP地址进行记录，所述检测端口为非业务端口；

统计来自所述可疑IP地址，且面向所述检测端口的访问请求的数量；

当所述数量大于预设的阈值时，确定所述访问请求的发送方为恶意系统漏洞扫描器。

第二方面，本申请提供一种恶意系统漏洞扫描器的识别装置，所述装置包括：

记录单元，用于在接收到面向预设检测端口的访问请求时，将所述访问请求的源IP地址作为可疑IP地址进行记录，所述检测端口为非业务端口；

统计单元，用于统计来自所述可疑IP地址，且面向所述检测端口的访问请求的数量；

确定单元，当所述数量大于预设的阈值时，确定所述访问请求的发送方为恶意系统漏洞扫描器。

分析上述技术方案可知，用户可以根据服务器提供的业务确定服务器的非业务端口号，并将一个或多个所述非业务端口号设置为用于检测恶意系统漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时，确定所述访问请求的发送方为恶意系统漏洞扫描器。与相关技术中第一种方案相比，服务器可以根据接收到的面向非业务端口的访问请求，即异常的访问请求的数量，识别恶意系统漏洞扫描器，提升了服务器识别恶意系统漏洞扫描器的准确性。与相关技术中第二种方案相比，服务器可以在接收到访问请求后对恶意系统漏洞扫描器进行识别，可以及时识别出恶意系统漏洞扫描器；另外，恶意系统漏洞扫描器是否修改了报文的特征码对服务器识别并无影响，提升了服务器识别恶意系统漏洞扫描器的准确性。综合来看，本技术方案服务器可以快速准确地识别恶意系统漏洞扫描器。

附图说明

图1是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的组网图；

图2是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的流程图；

图3是本申请一示例性实施例示出的另一种恶意系统漏洞扫描器的识别方法的流程图；

图4是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别装置所在设备的硬件结构图；

图5是本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

相关技术中，识别恶意系统漏洞扫描器有两种方案：第一种是统计一定时间内接收到的来自同一IP地址的访问请求的数量，如果来自某一IP地址的访问请求的数量超过阈值，则可以确定这些访问请求来自恶意系统漏洞扫描器；第二种是对接收到的报文进行检测，如果检测到异常的报文，例如检测到某个超过常规长度的报文，或者基于特征码确定某个报文为攻击报文，则可以确定该报文来自恶意系统漏洞扫描器。但是，第一种方案无法区分正常的访问请求和异常的访问请求，可能导致误报；第二种方案通常在恶意系统漏洞扫描器完成访问后才能实现，比较滞后，且当恶意系统漏洞扫描器对报文的特征码进行修改后将导致无法识别。

参考图1，为本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的组网图，该网络中包括服务器和终端设备，服务器与终端设备之间可以通过互联网进行数据传输。通常，在终端设备与服务器交互时，终端设备可以向服务器发送访问请求以获取服务器信息，所述访问请求的目的端口号为与该业务对应的端口号。比如：在用户浏览网页时，终端设备可以向服务器发送目的端口号为80的访问请求，其中80为HTTP(Hyper Text Transfer Protocol，超文本传输协议)业务所使用的端口号。攻击者可以利用安装在终端设备中的系统漏洞扫描器盗取服务器信息，届时，该系统漏洞扫描器除了可以向服务器发送目的端口号为对应业务端口号的访问请求之外，还可以向服务器发送目的端口号为非业务端口号的访问请求。

结合上述组网图1，参考图2，为本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的流程图，该方法可以应用于图1中的服务器，包括以下步骤：

步骤201：在接收到面向预设检测端口的访问请求时，将所述访问请求的源IP地址作为可疑IP地址进行记录，所述检测端口为非业务端口。

在本实施例中，用户可以先根据服务器提供的业务，确定服务器的非业务端口号，并将一个或多个所述非业务端口号设置为用于检测恶意系统漏洞扫描器的端口号。其中，所述非业务端口号为与服务器提供的业务均不相关的端口号。此后，服务器可以根据接收到的访问请求的目的端口号，检测是否接收到面向所述检测端口的访问请求。如果接收到面向所述检测端口的访问请求，则说明在终端设备中可能存在恶意系统漏洞扫描器，服务器可以将该访问请求的源IP地址作为可疑IP地址进行记录；如果未接收到面向所述检测端口的访问请求，则说明暂未检测到恶意系统漏洞扫描器，服务器可以继续进行检测。

步骤202：统计来自所述可疑IP地址，且面向所述检测端口的访问请求的数量。

在本实施例中，服务器可以根据访问请求的源IP地址和目的端口号，统计来自所述可疑IP地址，且面向所述检测端口的访问请求的数量。

步骤203：当所述数量大于预设的阈值时，确定所述访问请求的发送方为恶意系统漏洞扫描器。

在本实施例中，如果在前述步骤202中统计到的数量大于预设的阈值，则服务器可以确定所述访问请求的发送方为恶意系统漏洞扫描器；否则，服务器可以继续执行步骤202。

由上述实施例可见，用户可以根据服务器提供的业务确定服务器的非业务端口号，并将一个或多个所述非业务端口号设置为用于检测恶意系统漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时，确定所述访问请求的发送方为恶意系统漏洞扫描器。与相关技术中第一种方案相比，服务器可以根据接收到的面向非业务端口的访问请求，即异常的访问请求的数量，识别恶意系统漏洞扫描器，提升了服务器识别恶意系统漏洞扫描器的准确性。与相关技术中第二种方案相比，服务器可以在接收到访问请求后对恶意系统漏洞扫描器进行识别，可以及时识别出恶意系统漏洞扫描器；另外，恶意系统漏洞扫描器是否修改了报文的特征码对服务器识别并无影响，提升了服务器识别恶意系统漏洞扫描器的准确性。综合来看，本技术方案服务器可以快速准确地识别恶意系统漏洞扫描器。

结合上述组网图1，参考图3，为本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别方法的流程图，该方法可以应用于图1中的服务器，包括以下步骤：

步骤301：检测是否接收到面向预设检测端口的访问请求，所述检测端口为非业务端口。若是，执行步骤302。

在本实施例中，用户可以先根据服务器提供的业务，确定服务器的非业务端口，并将一个或多个所述非业务端口号设置为用于检测恶意系统漏洞扫描器的端口号。此后，服务器可以根据接收到的访问请求的目的端口号，检测是否接收到面向所述检测端口的访问请求。如果接收到面向所述检测端口的访问请求，则说明在终端设备中可能存在恶意系统漏洞扫描器，可以执行步骤302；如果未接收到面向所述检测端口的访问请求，则说明暂未检测到恶意系统漏洞扫描器，服务器可以继续执行步骤301。

举例来说，假设服务器为FTP(File Transfer Protocol，文件传输协议)服务器，则FTP业务的端口号为21，即21属于本服务器的业务端口号。23为Telnet(远程终端协议)业务的端口号，25为SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)业务的端口号，均属于本服务器的非业务端口号。用户可以将23设置为用于检测恶意系统漏洞扫描器的检测端口号，则服务器在接收到访问请求后，可以检测所述访问请求的目的端口号是否为23，即该访问请求是否为面向所述检测端口的访问请求。用户也可以将23和25设置为用于检测恶意系统漏洞扫描器的检测端口号，则服务器在接收到访问请求后，可以检测所述访问请求的目的端口号是否为23或25。

步骤302：将所述访问请求的源IP地址作为可疑IP地址进行记录。

在本实施例中，基于前述步骤301的判断结果，如果服务器接收到面向预设检测端口的访问请求，则说明在终端设备中可能存在恶意系统漏洞扫描器，服务器可以提取该访问请求的源IP地址，并将该源IP地址作为可疑IP地址进行记录。

步骤303：统计来自所述可疑IP地址，且面向所述检测端口的访问请求的数量。

在本实施例中，服务器可以根据访问请求的源IP地址和目的端口号，统计来自所述可疑IP地址，且面向所述预设检测端口的访问请求的数量。

在一个可选的实施例中，可以预先设置统计周期，服务器可以在该统计周期内进行统计。在达到预设的统计周期，如果在本步骤中统计到的数量小于等于预设的阈值，则服务器可以确定暂未检测到恶意系统漏洞扫描器，可以将该数量清零，并重新开始统计。所述统计周期可以是用户设置的时间周期，也可以是缺省的默认周期，本申请不作特殊限制。

在一个可选的实施例中，针对来自所述可疑IP地址的访问请求，服务器可以针对一个检测端口，对所述访问请求的数量进行统计。举例来说，假设某可疑IP地址为IP1，用户设置的检测端口号有三个，分别为22、27和76。在本步骤中，在接收到源IP地址为IP1的访问请求后，服务器可以统计目的端口号为22的访问请求的数量，作为来自所述可疑IP地址，且面向所述检测端口的访问请求的数量。同样，服务器也可以统计目的端口号为27的访问请求的数量，作为来自所述可疑IP地址，且面向所述检测端口的访问请求的数量，本申请对此不作特殊限制。

在另一个例子中，针对来自所述可疑IP地址的访问请求，服务器可以针对多个检测端口，对所述访问请求的数量进行统计。请继续参考上段的例子，在本步骤中，在接收到源IP地址为IP1的访问请求后，服务器在分别统计目的端口号为22、27和76的访问请求的数量后，可以将目的端口号为22和27的访问请求的数量相加，以作为来自所述可疑IP地址，且面向所述检测端口的访问请求的数量。当然，服务器也可以针对所有检测端口进行统计，比如：服务器在分别统计目的端口号为22、27和76的访问请求的数量后，可以将目的端口号为22、27和76的访问请求的总数量作为来自所述可疑IP地址，且面向所述检测端口的访问请求的数量。

步骤304：判断所述数量是否大于预设的阈值。若是，执行步骤305；否则，执行步骤303。

在本实施例中，服务器可以将在前述步骤303中统计到的数量与预设的阈值进行比较，以确定所述访问请求是否来自恶意系统漏洞扫描器。其中，所述阈值可以是用户设置的数值，也可以是缺省的默认值，本申请不作特殊限制。如果该数量大于该阈值，则可以执行步骤305；如果该数量小于等于该阈值，则服务器可以确定暂未检测到恶意系统漏洞扫描器，可以继续执行步骤303。

步骤305：确定所述访问请求的发送方为恶意系统漏洞扫描器。

在本实施例中，基于前述步骤304的判断结果，如果所述数量大于所述阈值，则服务器可以确定所述访问请求来自恶意系统漏洞扫描器，即所述访问请求的发送方为恶意系统漏洞扫描器。

步骤306：针对所述恶意系统漏洞扫描器进行告警，或者在预设的阻断周期内丢弃来自所述恶意系统漏洞扫描器的访问请求。

在本实施例中，服务器可以基于用户预先配置的处理规则，对在前述步骤305中确定的恶意系统漏洞扫描器进行处理。具体地，服务器可以采用邮件、短信等或通过系统日志针对该恶意系统漏洞扫描器进行告警；或者，服务器也可以在预先设置的阻断周期内，将来自该恶意系统漏洞扫描器的访问请求丢弃，以阻断该系统漏洞扫描器对服务器信息的获取。

在一个可选的实施例中，可以不设置阻断周期，服务器可以在接收到来自在前述步骤305中确定的恶意系统漏洞扫描器的访问请求后，将所述访问请求丢弃，以永久阻断该系统漏洞扫描器对服务器信息的获取。

步骤307：将所述数量清零，并重新开始统计。

在本实施例中，服务器在前述步骤306中对恶意系统漏洞扫描器进行处理后，可以将统计到的来自该恶意系统漏洞扫描器的访问请求的数量清零，并重新开始统计。

由上述实施例可见，用户可以根据服务器提供的业务确定服务器的非业务端口，并将一个或多个所述非业务端口设置为用于检测恶意系统漏洞扫描器的端口号。服务器可以在接收到的来自同一IP地址且面向所述检测端口的访问请求的数量大于预设的阈值时，确定所述访问请求的发送方为恶意系统漏洞扫描器。与相关技术中第一种方案相比，服务器可以根据接收到的面向非业务端口的访问请求，即异常的访问请求的数量，识别恶意系统漏洞扫描器，提升了服务器识别恶意系统漏洞扫描器的准确性。与相关技术中第二种方案相比，服务器可以在接收到访问请求后对恶意系统漏洞扫描器进行识别，可以及时识别出恶意系统漏洞扫描器；另外，恶意系统漏洞扫描器是否修改了报文的特征码对服务器识别并无影响，提升了服务器识别恶意系统漏洞扫描器的准确性。综合来看，本技术方案服务器可以快速准确地识别恶意系统漏洞扫描器。

与前述恶意系统漏洞扫描器的识别方法的实施例相对应，本申请还提供了恶意系统漏洞扫描器的识别装置的实施例。

本申请恶意系统漏洞扫描器的识别装置的实施例可以应用在服务器上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本申请恶意系统漏洞扫描器的识别装置所在服务器的一种硬件结构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的服务器通常根据该恶意系统漏洞扫描器识别的实际功能，还可以包括其他硬件，对此不再赘述。

请参考图5，为本申请一示例性实施例示出的一种恶意系统漏洞扫描器的识别装置的框图，所述装置500可以应用于图4所示的服务器，包括：

记录单元501，用于在接收到面向预设检测端口的访问请求时，将所述访问请求的源IP地址作为可疑IP地址进行记录，所述检测端口为非业务端口；

统计单元502，用于统计来自所述可疑IP地址，且面向所述检测端口的访问请求的数量；

确定单元503，当所述数量大于预设的阈值时，确定所述访问请求的发送方为恶意系统漏洞扫描器。

在一个可选的实施例中，所述装置500还可以包括：

第一清零单元504，用于在达到预设的统计周期时，如果所述数量小于等于所述阈值，则将所述数量清零，并重新开始统计。

在一个可选的实施例中，所述装置500还可以包括：

处理单元505，用于在确定所述访问请求的发送方为恶意系统漏洞扫描器后，针对所述恶意系统漏洞扫描器进行告警，或者在预设的阻断周期内丢弃来自所述恶意系统漏洞扫描器的访问请求。

在一个可选的实施例中，所述装置500还可以包括：

第二清零单元506，用于在针对所述恶意系统漏洞扫描器进行告警或丢弃来自所述恶意系统漏洞扫描器的访问请求后，将所述数量清零，并重新开始统计。

在一个可选的实施例中，所述统计单元502可以包括：

统计子单元5021，用于针对所有检测端口，统计来自所述可疑IP地址的访问请求的总数量。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。