[发明专利]HTTP漏洞扫描主机的确认方法、装置、设备及介质

说明书

本发明公开了一种HTTP漏洞扫描主机的确认方法、装置、终端设备和计算机可读存储介质，本发明通过调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志；在各所述HTTP日志中，提取符合预设条件的HTTP敏感日志；分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。本发明避免了传统发现利用HTTP协议进行漏洞扫描的主机的方式，需要花费人力资源且识别准确率低下的问题，提升了HTTP漏洞扫描主机的确认效率。

技术领域

本发明涉及系统管理技术领域，尤其涉及一种HTTP漏洞扫描主机的确认方法、装置、终端设备及计算机可读存储介质。

背景技术

目前，在常见网络攻击场景中，攻击者为了攻陷一台运行网络服务的主机(如网站服务器)，需要事先使用HTTP(Hyper Text Transfer Protocol：超文本传输协议)协议扫描目的主机，以识别潜在的漏洞进行恶意攻击。因此，针对上述攻击方式，通过检测正在进行HTTP扫描的主机(即攻击者使用的设备)，就可以很好地防御此种来自内网内部或互联网的网络攻击。

然而，时下识别发现利用HTTP协议进行漏洞扫描的主机的方式，主要是通过扫描字典匹配或者敏感路径匹配两种方式，而通过扫描字典匹配只能对已知扫描工具进行识别，需要花费大量人力去分析提取各工具使用的扫描字典，泛化能力差，此外，基于敏感路径匹配又只能识别与已知的漏洞或后门相关的访问路径，且即使是正常访问也可能触发敏感路径，极易出现误报情况。

结合上述，现有识别发现利用HTTP协议进行漏洞扫描的主机的方式，需要耗费大量人力资源，且难以准确识别，效率低下。

发明内容

本发明的主要目的在于提出一种HTTP漏洞扫描主机的确认方法、装置、终端设备及计算机可读存储介质，旨在解决现有识别发现利用HTTP协议进行漏洞扫描的主机的方式，需要耗费大量人力资源，且难以准确识别，效率低下的技术问题。

为实现上述目的，本发明提供一种HTTP漏洞扫描主机的确认方法，所述HTTP漏洞扫描主机的确认方法包括如下步骤：

调用预设镜像设备持续对所述主机发起的HTTP流量数据进行审计得到各HTTP日志；

在各所述HTTP日志中，提取符合预设条件的HTTP敏感日志；

分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描。

优选地，在所述分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描的步骤之前，还包括：

对提取出的所述HTTP敏感日志进行分类聚合得到第一类别HTTP敏感日志和第二类别HTTP敏感日志；

相应的，所述分析所述HTTP敏感日志以确认所述主机是否利用HTTP进行漏洞扫描，包括：

分别对第一类别HTTP敏感日志和第二类别HTTP敏感日志进行分析以确认所述主机是否利用HTTP进行漏洞扫描。

优选地，所述第一类别HTTP敏感日志为记录多条请求路径的HTTP日志，

对第一类别HTTP敏感日志进行分析，包括：

采集所述主机的历史行为学特征，根据所述历史行为学特征排除多条所述请求路径中的部分路径；

从排除所述部分路径后剩余的多条请求路径中，提取出符合预设路径特征的目标请求路径；

对记录所述目标请求路径的所述第一类别HTTP敏感日志进行时域特征分析，以确认所述主机是否利用HTTP进行漏洞扫描。

优选地，所述历史行为学特征为记录基于HTTP进行正常访问的行为特征，