Web漏洞扫描的检测方法及装置与流程

本申请涉及互联网
技术领域：
，尤其涉及一种Web漏洞扫描的检测方法及装置。
背景技术：
：Web漏洞扫描可以用于查找Web服务器中的漏洞。但是，该技术容易被黑客用于获取Web服务器上的漏洞，从而对该Web服务器进行攻击。现有技术中，安全防护设备主要是基于单IP的统计方式来检测Web漏洞扫描的。例如，统计某个Web服务器中单个源IP的访问频率，如果所述访问频率大于预设阈值，那么说明该单个源IP正在对Web服务器进行Web漏洞扫描。然而，随着漏洞扫描技术的发展，Web漏洞扫描已经从传统的单机Web漏洞扫描模式发展到分布式Web漏洞扫描模式。而在分布式Web漏洞扫描的情况下，攻击方是可以通过大量的客户端向Web服务器进行Web漏洞扫描的，而每个客户端可能仅扫描少数几次，如此上述基于单IP的统计方式往往无法检测出分布式Web漏洞扫描的情况。技术实现要素：本申请提供的Web漏洞扫描的检测方法及装置，以解决现有技术中无法检测出分布式Web漏洞扫描的问题。根据本申请实施例提供的一种Web漏洞扫描的检测方法，所述方法包括：获取被检测Web目标的请求和/或应答数据的行为特征；将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。可选的，所述根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值，具体包括：统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值；所述单一攻击分值为该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和；将所有单个源IP的单一攻击分值相加，得到所述被检测Web目标的攻击总分值。可选的，在所述统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值之后，所述方法还包括：从所述所有单个源IP的单一攻击分值中，筛选出分值最高的单一攻击分值；在所述分值最高的单一攻击分值大于预设分值的情况下，得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。可选的，所述单一攻击分值通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的行为特征的第一分值；将所有命中的行为特征所得到的第一分值相加，得到该单个源IP的单一攻击分值。可选的，所述单一攻击分值通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；在命中次数等于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的攻击特征的第二分值；在命中次数大于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数后，再乘以权重值，得到该命中的攻击特征的第三分值；将所有命中的行为特征所得到的第二分值和第三分值相加，得到该单个源IP的单一攻击分值。根据本申请实施例提供的一种Web漏洞扫描的检测装置，所述装置包括：获取单元，用于获取被检测Web目标的请求和/或应答数据的行为特征；匹配单元，用于将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；统计单元，用于根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；检测单元，用于在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。可选的，所述统计单元，具体包括：第一统计子单元，用于统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值；所述单一攻击分值为该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和；第二统计子单元，用于将所有单个源IP的单一攻击分值相加，得到所述被检测Web目标的攻击总分值。可选的，在所述第一统计子单元之后，所述装置还包括：筛选子单元，用于从所述所有单个源IP的单一攻击分值中，筛选出分值最高的单一攻击分值；检测子单元，用于在所述分值最高的单一攻击分值大于预设分值的情况下，得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。可选的，所述第一统计子单元，具体包括：获取子单元，用于获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；第一计算子单元，用于将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的行为特征的第一分值；求和子单元，用于将所有命中的行为特征所得到的第一分值相加，得到该单个源IP的单一攻击分值。可选的，所述第一统计子单元，具体包括：获取子单元，用于获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；第二计算子单元，用于在命中次数等于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的攻击特征的第二分值；第三计算子单元，用于在命中次数大于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数后，再乘以权重值，得到该命中的攻击特征的第三分值；求和子单元，用于将所有命中的行为特征所得到的第二分值和第三分值相加，得到该单个源IP的单一攻击分值。本申请实施例中，通过预先在攻击特征规则库中对攻击特征进行打分，从而使得预设的攻击特征规则库中包含攻击特征和攻击分值，并且所述攻击特征与攻击分值一一对应。如此，在对被检测Web目标进行检测时，可以将所述被检测Web目标的请求和/或应答数据的行为特征在所述预设的攻击特征规则库中进行匹配，根据命中的行为特征对应的攻击分值来统计预设时长内该被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。由于所述攻击总分值是统计了所有源IP命中攻击特征规则库的情况，所以可以实现检测出分布式Web漏洞扫描的情况，避免了仅根据单个源IP来作为检测Web漏洞扫描的依据。附图说明图1是现有技术中Web漏洞扫描的检测方法的流程图；图2是本申请Web漏洞扫描的检测装置所在设备的一种硬件结构图；图3是本申请一实施例提供的Web漏洞扫描的检测装置的模块图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。如前所述，一般的，安全防护设备主要是基于单IP的统计方式来检测Web漏洞扫描的。除了上述单个源IP的访问频率外，还可以单个源IP和URL访问频率、单个源IP和Cookie在预设时间段内攻击次数、单个源IP进行行为特征频率、单个源IP在预设时间段内触发HTTP404状态次数等。但是，不管是哪种方式，均是基于单个源IP的统计来检测Web漏洞扫描的。然而，随着漏洞扫描技术的发展，Web漏洞扫描已经从传统的单机Web漏洞扫描模式发展到分布式Web漏洞扫描模式。而在分布式Web漏洞扫描的情况下，攻击方是可以通过大量的客户端向Web服务器进行Web漏洞扫描的，而每个客户端可能仅扫描少数几次，如此上述基于单IP的统计方式往往无法检测出分布式Web漏洞扫描的情况。已所述单个源IP的访问频率为例，由于分布式Web漏洞扫描中，单个源IP的访问频率往往很低，通过远远小于预设阈值，所以无法检测出分布式Web漏洞扫描行为。为了解决上述无法检测分布式Web漏洞扫描的问题，请参见图1，为本申请一实施例提供的Web漏洞扫描的检测方法的流程图，该实施例从安全防护设备侧进行描述，包括以下步骤：步骤110：获取被检测Web目标的请求和/或应答数据的行为特征。本实施例中，所述被检测Web目标可以为Web服务器。所述请求和/或应答数据为访问所述Web目标的客户端发送的数据。例如，所述客户端请求访问Web目标时，可以发送请求数据；再例如，而所述Web目标向所述客户端发送例如用于验证的请求数据后，对应地，所述客户端也可以返回用于验证的应答数据。具体地，安全防护设备可以是实时地对被检测Web目标的请求和/或应答数据进行监控。即所述安全防护设备实时地获取所述被检测Web目标的请求和/或应答数据，并提取所述请求和/或应答数据的行为特征。当然，在其它一些实施例中，所述安全防护设备也可以是非实时的。提取所述请求和/或应答数据的行为特征的方式作为业内通用的技术，在本申请实施例中不再赘述。所述行为特征可以是所获取的请求和/或应答数据的访问真实意图。通常，分为正常的行为特征(例如登录、校验、下载等)和非正常的行为特征，一般的将所述非正常的行为特征称之为攻击特征(例如包括XSS跨站、SQL注入等)。步骤120：将所述行为特征在预设的攻击特征规则库中进行匹配。本实施例中，所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应。所述攻击特征规则库中的攻击特征可以是业内普遍认为的用于攻击的非正常的行为特征。例如上述XSS跨站、SQL注入等。由于攻击特征太多，在本申请实施例中就不一一进行举例说明。与所述攻击特征对应的攻击分值，可以是人为预先配置的。例如，A攻击，配置的攻击分值为0.5分；B攻击，配置的攻击分值为0.7分。通常，人为为攻击特征配置攻击分值的时候，可以根据该攻击特征的严重程度进行打分。例如，某一个攻击特征所造成的严重程度较高，那么对应的攻击分值也相应要配置的高一些；反之，所造成的严重程度较低，那么对应的攻击分值也相应要配置的低一些。假设，对于攻击特征的严重程度分为5个等级：Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ。等级越高严重程度也越高，等级越低严重程度也越低。对于等级为Ⅴ的攻击特征，显然配置的攻击分值就要比其它等级的要高。为攻击特征配置攻击分值的时候，还可以是根据攻击特征的误报情况进行打分。所述误报情况可以是将其它行为特征误确认为该攻击特征的情况。例如，第一攻击特征与第二行为特征为比较相似，那么在获取攻击特征时，可能会将正常的第二行为特征认为是该第一攻击特征。也就是说，对于可能存在误报的攻击特征，获取到的该攻击特征，其实并不一定真的是该攻击特征，也可能是其它正常的行为特征或者其它的攻击特征。所以，对于误报情况较多的攻击特征，对应的攻击分值需要相应配置的低一些；反之，对于误报情况较少的攻击特征，对应的攻击分值需要相应配置的高一些。需要说明的是，在实际应用中，攻击特征还可能存在漏报的情况。即，实际存在的攻击特征，但是实际获取时可能会存在漏报了。例如，某一攻击特征，10次里面仅获取到了2次该攻击特征，则说明存在有8次漏报的情况。所以，针对漏报的情况，对于漏报情况较多的攻击特征，对应的攻击分值需要相应配置的高一些；反之，对于漏报情况较少的攻击特征，对应的攻击分值需要相应配置的低一些。值得一提的是，所述攻击特征规则库中的攻击特征可以人为进行操作，例如增加新的攻击特征，相应配置对应的攻击分值；删除已有的攻击特征，将对应的攻击分值也删除；修改已有的攻击特征，视该修改的攻击特征情况可以修改攻击分值也可以不修改攻击分值。步骤130：根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值。本实施例中，安全防护设备在进行匹配后，可以根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值。所述预设时长可以是人为预先设置的一个经验值。例如，统计半小时(预设时长)内所述被检测Web目标的攻击总分值。具体地，所述步骤130，可以包括如下步骤：A1：统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值；所述单一攻击分值为该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和；A2：将所有单个源IP的单一攻击分值相加，得到所述被检测Web目标的攻击总分值。本实施例中，所述攻击总分值可以是在预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值的总和。所述单一攻击分值可以是单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和。具体地，所述单一攻击分值可以通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的行为特征的第一分值；将所有命中的行为特征所得到的第一分值相加，得到该单个源IP的单一攻击分值。为了方便理解，以下举例加以说明：安全防护设备获取被检测Web目标的请求和/或应答数据的行为特征为：1.行为特征：a，源IP：A，时间：12：25；2.行为特征：a，源IP：B，时间：12：26；3.行为特征：a，源IP：A，时间：12：31；4.行为特征：b，源IP：C，时间：12：35；5.行为特征：a，源IP：B，时间：12：37；6.行为特征：d，源IP：A，时间：12：40；7.行为特征：a，源IP：B，时间：12：48；8.行为特征：c，源IP：B，时间：12：51；9.行为特征：c，源IP：A，时间：12：59；10.行为特征：e，源IP：C，时间：13：10。以当前时间为13：00为例，预设时长为30分钟，预设的攻击特征规则库如下表1所示：攻击特征攻击分值a0.8b0.5d0.4e0.9首先，将上述10个行为特征在表1所示的攻击特征规则库中进行匹配，由于表1中具有攻击特征a，b，d，e，所以序号1、2、3、4、5、6、7、10的行为特征命中。进一步的，根据匹配命中的行为特征，统计30分钟内的攻击总分值。而符合30分钟内(12：30至13：00)的序号3、4、5、6、7；源IP包括A、B、C。统计30分钟内源IP为A(序号3和6)的单一攻击分值，0.8分*1次+0.4*1次＝1.2分；统计30分钟内源IP为B(序号5、7)的单一攻击分值，0.8分*2次＝1.6分；统计30分钟内源IP为C(序号4)的单一攻击分值，0.5分*1次＝0.5分；之后，将所有单个源IP即A、B、C的单一攻击分值相加，得到所述被检测Web目标的攻击总分值，1.2分+1.6分+0.5分＝3.3分。步骤140：在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。本实施例中，所述预设阈值可以是人为预先设置的一个经验值。如果所述攻击总分值大于预设阈值，则可以得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果；如果所述攻击总分值不大于预设阈值，则说明所述被检测Web目标没有遭受分布式Web漏洞扫描。这种情况下，所述安全防护设备可以输出一个所述被检测Web目标没有遭受分布式Web漏洞扫描的检测结果，也可以不做处理。通过本申请实施例中，利用预先在攻击特征规则库中对攻击特征进行打分，从而使得预设的攻击特征规则库中包含攻击特征和攻击分值，并且所述攻击特征与攻击分值一一对应。如此，在对被检测Web目标进行检测时，可以将所述被检测Web目标的请求和/或应答数据的行为特征在所述预设的攻击特征规则库中进行匹配，根据命中的行为特征对应的攻击分值来统计预设时长内该被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。由于所述攻击总分值是统计了所有源IP命中攻击特征规则库的情况，所以可以实现检测出分布式Web漏洞扫描的情况，避免了仅根据单个源IP来作为检测Web漏洞扫描的依据。在本申请的另一个具体地实施例中，基于上述实施例的基础上，在所述步骤A1：统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值之后，所述方法还包括：从所述所有单个源IP的单一攻击分值中，筛选出分值最高的单一攻击分值；在所述分值最高的单一攻击分值大于预设分值的情况下，得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。本实施例中，所述预设分值可以是人为预先设置的一个经验值，可以用于衡量单一源IP是否存在Web漏洞扫描的情况。沿用上述实施例中步骤130中的例子加以说明。统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值为：源IP为A的单一攻击分值＝1.2分；源IP为B的单一攻击分值＝1.6分；源IP为C的单一攻击分值＝0.5分。其中，分值最高的单一攻击分值即为源IP为B的单一攻击分值。如果源IP为B的单一攻击分值1.6分大于预设分值，则说明源IP为B符合Web漏洞扫描的情况，则安全防护设备可以得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。反之，如果源IP为B的单一攻击分值1.6分不大于预设分值，则说明源IP为B不符合Web漏洞扫描的情况，则安全防护设备可以得出所述被检测Web目标没有遭受来自B的Web漏洞扫描的检测结果，或者也可以不输出检测结果。通过本实施例，可以检测出单个源IP的Web漏洞扫描的行为。在实际应用中，如果一个攻击特征重复被命中，而该攻击特征又不是很重要(如严重程度较低、误报较多)，但是重复命中了好多次，这样最后统计得到的攻击总分值很可能超过了预设阈值。例如，A是一个误报较多的攻击特征，如果A重复被命中了100次，并且统计得到的攻击总分值超过了预设阈值，然而真实情况其实由于误报，90次都是正常的行为特征，仅有10次是A，这样得出存在Web漏洞扫描的检测结果显然是不准确的。再例如，B是一个严重程度很高的攻击特征，如果B重复被命中了5次，并且统计得到的攻击总分值没有超过预设阈值，所以无法得到存在Web漏洞扫描的检测结果，但是由于B严重程度太高，如果放任不管，可能会造成严重后果。为了解决上述问题，在本申请的又一个具体地实施例中，所述单一攻击分值，可以通过如下方式得到：获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；在命中次数等于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的攻击特征的第二分值；在命中次数大于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数后，再乘以权重值，得到该命中的攻击特征的第三分值；将所有命中的行为特征所得到的第二分值和第三分值相加，得到该单个源IP的单一攻击分值。本实施例中，所述权重值可以是人为预先设置的一个经验值。在实际应用中，可以根据攻击特征的重要程度来设置权重值。例如，一个攻击特征并不是很重要，那么可以在该攻击特征被重复命中时弱化攻击分值，即可以设置一个权重值，且该权重值范围可以是(0,1)；一个攻击特征很重要，那么可以在该攻击特征被重复命中时强化攻击分值，即可以设置一个权重值，且该权重值范围可以是大于1。继续沿用上述实施例中步骤130中的例子，假设攻击特征a不是很重要，设置的权重值为0.2。那么，统计30分钟内源IP为B(序号5、7)的单一攻击分值，0.8分*2次*0.2＝0.32分。通过本申请实施例，对重复被命中的攻击特征可以设置权重值的方式，强化或者弱化攻击分值，如此可以避免统计重复被命中的攻击特征的攻击分值时的影响。使得最后得出的攻击总分值更加准确，即提高了最终检测结果的准确性。与前述Web漏洞扫描的检测方法实施例相对应，本申请还提供了Web漏洞扫描的检测装置的实施例。本申请Web漏洞扫描的检测装置的实施例可以分别应用在安全防护设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图2所示，为本申请Web漏洞扫描的检测装置所在设备的一种硬件结构图，除了图2所示的处理器、网络接口、内存以及非易失性存储器之外，实施例中装置所在的设备通常根据该Web漏洞扫描的检测的实际功能，还可以包括其他硬件。请参见图3，为本申请一实施例提供的Web漏洞扫描的检测装置的模块图，所述装置可以包括：获取单元310、匹配单元320、统计单元330及检测单元340。其中，所述获取单元310，用于获取被检测Web目标的请求和/或应答数据的行为特征；所述匹配单元320，用于将所述行为特征在预设的攻击特征规则库中进行匹配；所述攻击特征规则库中包含攻击特征和攻击分值，且所述攻击特征与攻击分值一一对应；所述统计单元330，用于根据命中所述攻击特征规则库的行为特征对应的攻击分值，统计预设时长内所述被检测Web目标的攻击总分值；所述检测单元340，用于在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。在一个可选的实现方式中：所述统计单元330，具体可以包括：第一统计子单元，用于统计预设时长内所有访问所述被检测Web目标的单个源IP的单一攻击分值；所述单一攻击分值为该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值之和；第二统计子单元，用于将所有单个源IP的单一攻击分值相加，得到所述被检测Web目标的攻击总分值。在一个可选的实现方式中：在所述第一统计子单元之后，所述装置还可以包括：筛选子单元，用于从所述所有单个源IP的单一攻击分值中，筛选出分值最高的单一攻击分值；检测子单元，用于在所述分值最高的单一攻击分值大于预设分值的情况下，得出所述被检测Web目标遭受来自所述分值最高的单一攻击分值所对应的源IP的Web漏洞扫描的检测结果。在一个可选的实现方式中：所述第一统计子单元，具体可以包括：获取子单元，用于获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；第一计算子单元，用于将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的行为特征的第一分值；求和子单元，用于将所有命中的行为特征所得到的第一分值相加，得到该单个源IP的单一攻击分值。在一个可选的实现方式中：所述第一统计子单元，具体可以包括：获取子单元，用于获取该单个源IP命中所述攻击特征规则库的行为特征对应的攻击分值及命中次数；第二计算子单元，用于在命中次数等于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数，得到该命中的攻击特征的第二分值；第三计算子单元，用于在命中次数大于1的情况下，将所命中的行为特征对应的攻击分值乘以命中次数后，再乘以权重值，得到该命中的攻击特征的第三分值；求和子单元，用于将所有命中的行为特征所得到的第二分值和第三分值相加，得到该单个源IP的单一攻击分值。综上所述，通过本申请实施例中，利用预先在攻击特征规则库中对攻击特征进行打分，从而使得预设的攻击特征规则库中包含攻击特征和攻击分值，并且所述攻击特征与攻击分值一一对应。如此，在对被检测Web目标进行检测时，可以将所述被检测Web目标的请求和/或应答数据的行为特征在所述预设的攻击特征规则库中进行匹配，根据命中的行为特征对应的攻击分值来统计预设时长内该被检测Web目标的攻击总分值；在所述攻击总分值大于预设阈值的情况下，得出所述被检测Web目标遭受分布式Web漏洞扫描的检测结果。由于所述攻击总分值是统计了所有源IP命中攻击特征规则库的情况，所以可以实现检测出分布式Web漏洞扫描的情况，避免了仅根据单个源IP来作为检测Web漏洞扫描的依据。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。当前第1页1 2 3