扫描攻击的检测方法、装置和计算机可读存储介质

技术领域

本发明涉及通信安全技术领域，尤其涉及一种扫描攻击的检测方法、装置和计算机可读存储介质。

背景技术

扫描工具可用于自动检测远程或者主机上的安全漏洞和具有漏洞的程序。采用扫描工具扫描通常是黑客攻击的前奏，故需要对扫描工具的扫描攻击进行检测。

目前，扫描工具的扫描攻击检测需要通过人工选取特征进行识别，使得扫描攻击的检测时间较长，也即现有技术中存在扫描攻击的检测效率低的问题。

发明内容

本发明的主要目的在于提供一种扫描攻击的检测方法、装置和计算机可读存储介质，旨在解决扫描攻击的检测效率低的问题。

为实现上述目的，本发明提供一种扫描攻击的检测方法，所述扫描攻击的检测方法包括以下步骤：

获取第一流量数据，并提取所述第一流量数据对应的目标特征；

判断所述目标特征是否与扫描攻击特征匹配，其中，所述扫描攻击特征为扫描工具扫描过程中产生的扫描攻击特征；

在所述目标特征与扫描攻击特征不匹配时，通过检测模型对所述目标特征进行识别；

在所述检测模型识别所述目标特征为扫描攻击特征时，判定发生扫描攻击。

在一实施例中，所述判断所述目标特征是否与扫描攻击特征匹配的步骤包括：

获取所述目标特征对应的第一参数值，其中，所述目标特征为阶段性行为特征或持续性行为特征；

判断所述第一参数值是否匹配预设阈值，其中，所述预设阈值根据所述扫描攻击特征确定，所述第一参数值不匹配预设阈值时，判定所述目标特征与扫描攻击特征不匹配。

在一实施例中，所述判断所述目标特征是否与扫描攻击特征匹配的步骤包括：

确定所述目标特征的各个第二参数值，其中，所述目标特征为持续性行为特征；

确定每类参数对应的第二参数值的数量，并确定每类参数对应的数量与第二参数值的总数量之间的比值；

根据每类参数对应的权重以及所述比值进行加权计算得到分值；

判断所述分值是否大于预设分值，其中，在所述分值小于或等于所述预设分值，判定所述目标特征与所述扫描攻击特征不匹配。

在一实施例中，所述判断所述目标特征是否与扫描攻击特征匹配的步骤包括：

从所述目标特征中提取字段，其中，所述目标特征为表象特征；

判断所述字段是否与预设字段匹配，其中，在所述字段与预设字段匹配时，判定所述目标特征与所述扫描攻击特征不匹配。

在一实施例中，所述判断所述目标特征是否与扫描攻击特征匹配的步骤之后，还包括：

在所述目标特征与扫描攻击特征匹配时，判定发生扫描攻击。

在一实施例中，所述获取第一流量数据的步骤之前，还包括：

获取各个训练特征以及每个所述训练特征对应的标签；

根据各个所述训练特征以及每个所述训练特征对应的标签，对模型进行训练得到检测模型，并保存所述检测模型。

在一实施例中，所述获取各个训练特征以及每个所述训练特征对应的标签的步骤包括：

获取访问预设页面产生的第二流量数据以及第三流量数据，其中，所述第二流量数据为扫描工具访问所述预设页面产生，所述第三流量数据为人工访问所述预设页面产生；

对所述第二流量数据以及所述第三流量数据进行特征提取作为训练特征，并将所述第二流量数据对应的标签作为所述第二流量数据对应的训练特征的标签，且将所述第三流量数据对应的标签作为所述第三流量数据对应的训练特征的标签。

在一实施例中，所述判断目标特征与扫描攻击特征匹配的步骤之前，还包括：

获取各个所述扫描工具在扫描过程中的机器特征，其中，所述机器特征包括持续性行为特征、阶段性行为特征以及表象特征；

在所述机器特征确定为扫描攻击特征进行保存。

为实现上述目的，本发明还提供一种扫描攻击的检测装置，所述扫描攻击的检测装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上执行的检测程序，所述程序或者所述指令被所述处理器执行时实现如上所述的扫描攻击的检测方法的步骤。

为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质包括检测程序，所述检测程序被处理器执行时实现如上所述的扫描攻击的检测方法的步骤。

本发明提供的扫描攻击的检测方法、装置和计算机可读存储介质，扫描攻击的检测装置获取流量数据，并提取流量数据对应的目标特征，并判断目标特征是否与扫描工具扫描过程中产生的扫描攻击特征匹配，若目标特征与扫描攻击特征不匹配时，则通过检测模型对目标特征进行识别，并在检测模型识别目标特征为扫描攻击特征时，即可确定发生扫描攻击。本发明通过装置自动提取特征进行扫描攻击的检测，无需人工提取特征，节省了扫描攻击的检测时长，提高了扫描攻击的检测效率。进一步的，在装置无法确定流量数据的特征为扫描攻击特征时，采用检测模型对无法确定的目标特征进行识别，从而提高了扫描攻击的识别准确性。

附图说明

图1为本发明实施例涉及的扫描攻击的检测装置的硬件结构示意图；

图2为本发明扫描攻击的检测方法第一实施例的流程示意图；

图3为本发明扫描攻击的检测方法第二实施例的流程示意图；

图4为本发明扫描攻击的检测方法第三实施例的流程示意图；

图5为本发明扫描攻击的检测方法第四实施例的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例的主要解决方案是：获取第一流量数据，并提取所述第一流量数据对应的目标特征；判断所述目标特征是否与扫描攻击特征匹配，其中，所述扫描攻击特征为扫描工具扫描过程中产生的扫描攻击特征；在所述目标特征与扫描攻击特征不匹配时，通过检测模型对所述目标特征进行识别；在所述检测模型识别所述目标特征为扫描攻击特征时，判定发生扫描攻击。

本发明通过装置自动提取特征进行扫描攻击的检测，无需人工提取特征，节省了扫描攻击的检测时长，提高了扫描攻击的检测效率。进一步的，在装置无法确定流量数据的特征为扫描攻击特征时，采用检测模型对无法确定的目标特征进行识别，从而提高了扫描攻击的识别准确性。

如图1所示，图1是本发明实施例方案涉及的扫描攻击的检测装置的硬件结构示意图。

如图1所示，本发明实施例方案涉及是扫描攻击的检测装置。扫描攻击的检测装置可以包括：处理器102，例如CPU，通信总线102，存储器101。其中，通信总线102用于实现这些组件之间的连接通信。存储器101可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器101可选的还可以是独立于前述处理器102的存储装置。本领域技术人员可以理解，图1中示出的结构并不构成对扫描攻击的检测装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器101中可以包括检测程序。

在图1所示的装置中，处理器102可以用于调用存储器101中存储的检测程序，并执行以下操作：

获取第一流量数据，并提取所述第一流量数据对应的目标特征；

判断所述目标特征是否与扫描攻击特征匹配，其中，所述扫描攻击特征为扫描工具扫描过程中产生的扫描攻击特征；

在所述目标特征与扫描攻击特征不匹配时，通过检测模型对所述目标特征进行识别；

在所述检测模型识别所述目标特征为扫描攻击特征时，判定发生扫描攻击。

在一实施例中，处理器102可以调用存储器101中存储的检测程序，还执行以下操作：

获取所述目标特征对应的第一参数值，其中，所述目标特征为阶段性行为特征或持续性行为特征；

判断所述第一参数值是否匹配预设阈值，其中，所述预设阈值根据所述扫描攻击特征确定，所述第一参数值不匹配预设阈值时，判定所述目标特征与扫描攻击特征不匹配。

在一实施例中，处理器102可以调用存储器101中存储的检测程序，还执行以下操作：

确定所述目标特征的各个第二参数值，其中，所述目标特征为持续性行为特征；

确定每类参数对应的第二参数值的数量，并确定每类参数对应的数量与第二参数值的总数量之间的比值；

根据每类参数对应的权重以及所述比值进行加权计算得到分值；

判断所述分值是否大于预设分值，其中，在所述分值小于或等于所述预设分值，判定所述目标特征与所述扫描攻击特征不匹配。

在一实施例中，处理器102可以调用存储器101中存储的检测程序，还执行以下操作：

从所述目标特征中提取字段，其中，所述目标特征为表象特征；

判断所述字段是否与预设字段匹配，其中，在所述字段与预设字段匹配时，判定所述目标特征与所述扫描攻击特征不匹配。

在一实施例中，处理器102可以调用存储器101中存储的检测程序，还执行以下操作：

在所述目标特征与扫描攻击特征匹配时，判定发生扫描攻击。

在一实施例中，所述获取第一流量数据的步骤之前，还包括：

获取各个训练特征以及每个所述训练特征对应的标签；

根据各个所述训练特征以及每个所述训练特征对应的标签，对模型进行训练得到检测模型，并保存所述检测模型。

在一实施例中，处理器102可以调用存储器101中存储的检测程序，还执行以下操作：

获取访问预设页面产生的第二流量数据以及第三流量数据，其中，所述第二流量数据为扫描工具访问所述预设页面产生，所述第三流量数据为人工访问所述预设页面产生；

对所述第二流量数据以及所述第三流量数据进行特征提取作为训练特征，并将所述第二流量数据对应的标签作为所述第二流量数据对应的训练特征的标签，且将所述第三流量数据对应的标签作为所述第三流量数据对应的训练特征的标签。

在一实施例中，处理器102可以调用存储器101中存储的检测程序，还执行以下操作：

获取各个所述扫描工具在扫描过程中的机器特征，其中，所述机器特征包括持续性行为特征、阶段性行为特征以及表象特征；

在所述机器特征确定为扫描攻击特征进行保存。

本实施例根据上述方案，扫描攻击的检测装置获取流量数据，并提取流量数据对应的目标特征，并判断目标特征是否与扫描工具扫描过程中产生的扫描攻击特征匹配，若目标特征与扫描攻击特征不匹配时，则通过检测模型对目标特征进行识别，并在检测模型识别目标特征为扫描攻击特征时，即可确定发生扫描攻击。本发明通过装置自动提取特征进行扫描攻击的检测，无需人工提取特征，节省了扫描攻击的检测时长，提高了扫描攻击的检测效率。进一步的，在装置无法确定流量数据的特征为扫描攻击特征时，采用检测模型对无法确定的目标特征进行识别，从而提高了扫描攻击的识别准确性。

基于上述扫描攻击的检测装置的硬件构架，提出本发明扫描攻击的检测方法的实施例。

参照图2，图2为本发明扫描攻击的检测方法的第一实施例，所述扫描攻击的检测方法包括以下步骤：

步骤S10，获取第一流量数据，并提取所述第一流量数据对应的目标特征；

在本实施例中，执行主体为扫描攻击的检测装置，为了便于描述，以下采用装置指代扫描攻击的检测装置。

扫描工具在扫描过程中都会表现出一些有别于正常用户的机器特征。因此，可以通过访问页面所产生的流量数据提取特征，并基于特征是否为机器特征来判断是否发生了扫描攻击。扫描工具包括但不限于AppScan、AWVS、Netsparker漏洞扫描工具。扫描工具在访问页面时会产生流量数据，故，装置获取当前产生的第一流量数据，并从第一流量数据中提取目标特征。具体而言，流量数据中包括有多个请求报文，装置从请求报文中提取特征作为目标特征。第一流量数据通过流量抓取即可得到。

步骤S20，判断所述目标特征是否与扫描攻击特征匹配，其中，所述扫描攻击特征为扫描工具扫描过程中产生的扫描攻击特征；

装置中存储有扫描攻击特征。具体的，扫描攻击特征为扫描工具扫描过程中产生的扫描攻击特征，扫描攻击特征即为扫描工具的机器特征。机器特征包括行为特征以及表象特征。行为特征根据特征时效的不同，又可以分为持续性行为特征和阶段性行为特征。持续性行为特征，指的是以某些维度(例如IP维度)从第一个请求到当前请求持续统计的行为特征，直至全部请求结束(例如10分钟没有访问，视为结束)。

阶段性行为特征，指的是以某些维度(例如IP维度)截止当前请求前的一段时间内统计的行为特征，比如实时的访问频率统计等。在阶段性行为特征可采用滑动窗口算法进行提取，其原理为将数据按时间分段，每次向前滑动一段或多段，从而将窗口中的数据提取的特征作为阶段性行为特征。

表象特征指的是可以在每次请求报文中直接提取的特征。可以理解的是，行为特征和表象特征的区别是行为特征的提取需要综合多个请求报文，而表象特征只需从单个请求报文中提取即可。以下对行为特征以及表象特征进行说明。

1)、行为特征

①、扫描漏洞种类数(持续性)：扫描工具一般会扫描多种类型的漏洞，如SQL注入、XSS、CSRF等；装置可以匹配请求报文中包含的恶意脚本，检出扫描工具扫描的漏洞类型，从而计算扫描漏洞种类数；

②、访问的页面占所有页面的比例(持续性)：指的是一段时间内的访问页面数占所有现存页面总数的比例；扫描工具一般会在一段时间内访问大量页面，访问页面占所有页面的比例较高；

③、访问不正确的比例(持续性)：指的是一段时间内访问不正确的请求占比。扫描工具发出的扫描请求很多都不是正常的请求，如400Bad Request、404Not Found等；

④、访问相同页面的比例(持续性)：一段时间内访问相同页面的请求占比；扫描工具为了扫描多种漏洞类型，一般会在某个时间点大量重复访问相同页面，访问相同页面的比例较高；

⑤、访问频率(阶段性)：一段时间内访问请求的频率。由于扫描工具要扫描大量的页面，找出其中的漏洞，所以访问频率会比较高，比如每秒访问数十次。

2)、表象特征：

①、请求中特定标识种类与个数：指的是请求中包含的扫描工具特定标识的类型和数量；扫描工具发出的扫描请求中，一般会在请求的Url、Headers和Body中添加特定的标识信息，如AppScan会添加AppScan字段的标识；

②、User-Agent、Cookie、Referrer等信息：指的是请求头中的User-Agent、Cookie、Referrer等字段是否正常；若是扫描工具发出的请求，请求头中的User-Agent、Cookie、Referrer等信息很有可能是缺失或错误的。

装置将上述机器特征作为扫描攻击特征存储于数据库。装置在得到目标特征后，即可判断目标特征在数据库中是否有匹配的扫描攻击特征。需要说明的是，装置通过目标特征与数据库中的扫描攻击特征进行比对判断为典型特征检测。

步骤S30，在所述目标特征与扫描攻击特征不匹配时，通过检测模型对所述目标特征进行识别；

装置在确定目标特征与扫描攻击特征不匹配，即可确定目标特征不是扫描攻击特征或者装置无法确定目标特征是否为扫描攻击特征。而装置中存储有AI智能检测程序，AI智能检测程序通过检测模型进行实现。检测模型用于识别无法确定的目标特征的识别，也即识别目标特征是否为扫描攻击特征。

在当目标特征与扫描攻击特征不匹配时，装置则通过自身存储的检测模型对目标特征进行识别，从而输出识别结果。

在当目标特征与扫描攻击特征匹配，即可确定发生扫描攻击，装置则会对第一流量数据进行后续处理。例如，后续处理可以是对目标特征所对应的IP进行封禁，可以对目标特征所对应的IP进行追踪等。

步骤S40，在所述检测模型识别所述目标特征为扫描攻击特征时，判定发生扫描攻击。

识别结果包括目标特征识别为扫描攻击特征以及目标特征识别为非扫描攻击特征。若是识别结果为目标特征为扫描攻击特征，即可确定检测模型识别目标特征为扫描攻击特征，此时，判定发生扫描攻击，装置则进行后续处理。若识别结果为目标特征不为扫描攻击特征时，即可确定检测模型识别目标特征不为扫描攻击特征，装置则对第一流量数据进行放行，进而在重新获取新的第一流量数据判断是否发生扫描攻击。

需要说明的是，第一流量数据中可提取多个目标特征，目标特征包括阶段性行为特征、持续性行为特征以及表象特征。装置对所有的目标特征进行典型特征检测，并筛选出与扫描攻击特征匹配的目标特征，装置需要对此类目标特征进行后续处理。无法被确定为扫描攻击的目标特征则采用检测模型进行识别，从而将第一流量数据所有的维度的特征进行全部的检测，且通过典型特征检测以及检测模型的识别，能够提高扫描攻击的识别准确性以及灵活性；同时由于采用装置提取特征，无需人工提取特征，节省了成本。也即本实施例提供一种成本低、覆盖率高、准确性高以及灵活性高的扫描攻击的多维度检测方法。

在本实施例提供的技术方案中，扫描攻击的检测装置获取流量数据，并提取流量数据对应的目标特征，并判断目标特征是否与扫描工具扫描过程中产生的扫描攻击特征匹配，若目标特征与扫描攻击特征不匹配时，则通过检测模型对目标特征进行识别，并在检测模型识别目标特征为扫描攻击特征时，即可确定发生扫描攻击。本发明通过装置自动提取特征进行扫描攻击的检测，无需人工提取特征，节省了扫描攻击的检测时长，提高了扫描攻击的检测效率。进一步的，在装置无法确定流量数据的特征为扫描攻击特征时，采用检测模型对无法确定的目标特征进行识别，从而提高了扫描攻击的识别准确性。

参照图3，图3为本发明扫描攻击的检测方法的第二实施例，基于第一实施例，所述步骤S20包括：

步骤S21，获取所述目标特征对应的第一参数值，其中，所述目标特征为阶段性行为特征或持续性行为特征；

步骤S22，判断所述第一参数值是否匹配预设阈值，其中，所述预设阈值根据所述扫描攻击特征确定，所述第一参数值不匹配预设阈值时，判定所述目标特征与扫描攻击特征不匹配。

在本实施例中，目标特征为阶段性行为特征或者持续性行为特征。装置中存储有阶段性行为特征所对应的预设阈值，也即装置中存储有阶段性行为特征的类型、预设阈值之间的映射关系。预设阈值基于扫描攻击特征确定。例如，扫描攻击特征为访问频率，若是扫描工具进行扫描攻击时，由于扫描工具要扫描大量的页面，找出其中的漏洞，所以在短时间内，对页面的访问频率较高，如每秒访问次数为10次，则预设阈值可为10次/秒。装置先确定目标特征所属的类型，再根据类型确定映射关系，从而基于确定的类型以及映射关系获取预设阈值。此外，装置中也设置有某些类型的持续性行为特征对应的预设阈值，例如，持续性行为特征为平均攻击频率，则装置设置预设平均攻击频率。

装置从目标特征中获取第一参数值。可以理解的是，目标特征可以指代特征对应的名称，而第一参数值则是该特征对应的实际数值。例如，目标特征为访问频率(阶段性行为特征)，则第一参数值则为访问频率的具体数值。装置再判断第一参数值是否匹配预设阈值。若是第一参数不匹配预设阈值，则判定目标特征与扫描攻击特征不匹配。例如，目标特征为访问频率，则第一参数值小于或等于预设阈值，即可确定第一参数值不匹配预设阈值。需要说明的是，一些类型的目标特征的第一参数值小于或等于预设阈值，可以判定目标特征与扫描攻击特征匹配，另外一些目标特征的第一参数值大于预设阈值，可以判定目标特征与扫描攻击特征匹配。

在本实施例提供的技术方案中，装置获取目标特征的第一参数值，判断第一参数值是否匹配预设阈值，若是第一参数值不匹配预设阈值，即可准确的判定目标特征与扫描攻击特征不匹配。

参照图4，图4为本发明扫描攻击的检测方法的第三实施例，基于第一或第二实施例，所述步骤S20包括：

步骤S23，确定所述目标特征的各个第二参数值，其中，所述目标特征为持续性行为特征；

步骤S24，确定每类参数对应的第二参数值的数量，并确定每类参数对应的数量与第二参数值的总数量之间的比值；

步骤S25，根据每类参数对应的权重以及所述比值进行加权计算得到分值；

步骤S26，判断所述分值是否大于预设分值，其中，在所述分值小于或等于所述预设分值，判定所述目标特征与所述扫描攻击特征不匹配。

在本实施例中，针对扫描攻击特征为持续性行为特征判断方式设置阈值检测策略。具体的，持续性行为特征是在一个时间段内持续发生的，目标特征为持续性行为特征时，在一个时间段内有多个时间连续的第二参数值，第二参数值所处的区间是不同，因此，对每个区间设置对应的权重，进而确定每个区间中第二参数值的占比，最后基于占比以及权重得到数值，最后基于数值与阈值检测策略对应的阈值进行比对，确定目标特征是否匹配扫描攻击特征。

在目标特征为持续性行为特征时，装置获取目标特征在时间上连续的各个第二参数值，并确定每类参数的第二参数值的数量。一类参数的各个第二参数值可以是处于同一个数值区间的参数值，也可以是类型相同的第二参数值，例如，访问不正确的第二参数值可以为一类参数；还可以是访问相同页面的所产生的第二参数值。参数类型的确定基于目标特征的类型确定。例如，目标特征为访问相同页面的比例，则访问相同页面所产生的第二参数值为同一类参数；若目标特征为访问不正确的比例，则访问不正确或者访问正确的第二参数值为同一类参数。

装置确定每类第二参数值的数量，从而确定每类第二参数值的数量与第二参数值的总数量之间的比值，最后基于每类参数的权重以及比值进行加权机选得到分值，再判断分值是否大于预设阈值。若是分值小于或等于预设分值，即可判定目标特征与扫描攻击特征不匹配。

需要说明的是，本实施例作为持续性行为特征的目标特征是否与扫描攻击特征的是否匹配的判断，与作为阶段性行为特征的目标特征是否与扫描攻击特征的是否匹配的判断，可以同时进行。

在本实施例提供的技术方案中，装置确定目标特征的各个第二参数值，并确定每类参数对应的第二参数值的数量，再确定每类参数对应的数量与第二参数值的总数量的比值，从基于每类参数对应的比值以及权重进行加权计算得到分值，最后通过分值与预设分值的比对，准确的确定目标特征是否为扫描攻击特征。

在一实施例中，目标特征为表象特征。装置从作为表象特征的目标特征中提取字段。例如，目标特征为表象特征AppScan时，目标特征中添加有AppScan字段的标识。扫描工具发出的请求中，请求头中的字段是缺失或者错误的。因此，装置在得到字段后，判断字段是否匹配预设字段，预设字段为正确的且无字符缺失的标识字段。若是字段与预设字段一致，即可确定字段与预设字段匹配正常，则目标特征与扫描攻击特征不匹配。当然，若是装置无法得到字段，即可确定目标特征与扫描攻击特征匹配。

参照图5，图5为本发明扫描攻击的检测方法的第四实施例，基于第一至第三中任一实施例，所述步骤S10之前，还包括：

步骤S50，获取各个训练特征以及每个所述训练特征对应的标签；

步骤S60，根据各个所述训练特征以及每个所述训练特征对应的标签，对模型进行训练得到检测模型，并保存所述检测模型。

在本实施例中，装置需要训练模型得到检测模型，从而利用检测模型对无法确定为扫描攻击特征的目标特征进行识别。

具体的，装置获取多个训练特征以及每个训练特征对应的标签。训练特征可以是扫描工具扫描页面所产生的特征。标签即为人工对训练特征进行标注的标签，装置根据各个训练特征以及每个训练特征对应的标签对模型进行训练，在当模型的收敛值小于预设收敛值，即可确定模型训练完成，此时，停止训练，并将停止训练的模型保存为检测模型。训练好的检测模型可以转化为通用版本的检测模型，从而可以将检测模型发送至其他终端，使得其他终端可以采用检测模型进行扫描攻击的检测。

装置可以获取访问预设页面产生的第二流量数据以及第三流量数据，从而基于第二流量数据以及第三流量数据得到训练特征以及训练特征对应的标签。具体的，采用扫描工具访问预设页面产生第二流量数据，从而人工访问预设页面产生的第三流量数据。第二流量数据即可为攻击数据，而第三流量数据为正常数据。也即第二流量数据的标签为攻击数据，而第三流量数据的标签为正常数据。

装置从第二流量数据以及第三流量数据中进行特征提取作为训练特征，并将第二流量数据对应的标签作为第二流量数据对应的训练特征的标签，且将第三流量数据对应的标签作为第三流量数据对应的训练特诊的标签。

需要说明的是，装置在得到各个训练特征以及训练特征对应的标签后，选取部分的训练特征以及训练特征的标签作为测试集。在当模型停止训练后，采用测试集中的训练特征以及训练特征的标签对停止训练的模型进行测试，若是测试的结果达到要求，即可将停止训练的模型保存为检测模型。若是测试的结果未达到要求，则重新获取训练特征以及训练特征的标签对停止训练的模型再次进行训练。

在本实施例提供的技术方案中，装置获取各个训练特征以及训练特征对应的标签，从而基于训练特征以及训练特征的标签训练得到检测模型。

在一实施例中，装置需要提取扫描工具在扫描过程中的机器特征进行存储。机器特征包括持续性行为特征、阶段性行为特征以及表象特征。装置再将机器特征确定为扫描攻击特征进行保存。

具体的，装置先获取扫描工具在扫描过程中产生的第四流量数据，采用滑动窗口算法提取阶段行为特征的初步提取。滑动窗口算法是指将数据按时间分段，例如，数据流有time1、…、time5共5段，每次向前滑动1段或多段，取窗口中的数据进行提取得到阶段性行为特征。较传统的分段计数方案，滑动窗口检测方案有效提升了扫描工具的自动化扫描的检出率。初步提取的阶段性行为特征暂时存储至数据库，装置需要对初步提取的阶段性行为特征进行维度获取，再将维度与阶段性行为特征进行关联，从而将关联的维度以及阶段性行为特征存入阶段性行为特征的数据库。维度可以理解为阶段性行为特征的类型、名称等，例如，维度可以为IP地址。

装置可以从第四流量数据中初步提取持续性行为特征，初步提取的持续性行为特征暂时存储至数据库。装置再从数据库中提取之前存储的相同类型的持续性行为特征，再将各个持续性行为特征对应的参数值进行平均值求取。装置再获取持续性行为特征的维度，再将维度、平均值以及持续性行为特征进行关联，最后将关联的持续性行为特征、平均值以及维度存储至持续性行为特征的数据库。

装置从第四流量数据中提取表象特征后，可直接将表象特征存储至表象特征的数据库。

本发明还提供一种扫描攻击的检测装置，所述扫描攻击的检测装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的检测程序，所述检测程序被所述处理器执行时实现如上实施例所述的扫描攻击的检测方法的各个步骤。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质包括检测程序，所述检测程序被处理器执行时实现如上实施例所述的扫描攻击的检测方法的各个步骤。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。