[发明专利]端口扫描攻击检测方法及相关装置

权利要求书

1.一种端口扫描攻击检测方法，其特征在于，应用于服务器，所述服务器与软件定义网络SDN交换机通信连接，所述SDN交换机与多个主机通信连接，所述方法包括：

接收所述SDN交换机发送的多个采样报文，其中，所述多个采样报文为任意两个主机之间通过所述SDN交换机转发的通信报文，每个所述采样报文包括特征字段；

所述多个采样报文是在当前采样周期内采样得到的；

依据所述多个采样报文的总数及所述特征字段的每一取值在所述多个采样报文中的次数，计算所述特征字段的熵值；

计算历史采样周期内采样得到历史采样报文中特征字段的历史熵值，其中，所述历史采样周期为当前采样周期的开始时刻之前的预设个数的采样周期；

依据所述历史采样报文中特征字段的历史熵值计算所述特征字段的熵值阈值，包括：

采用一次指数平滑法，依据所述历史采样报文中特征字段的历史熵值计算当前采样周期内的采样报文中特征字段的熵值的预测值及标准差，依据该预测值及标准差计算得到当前采样周期内的采样报文中特征字段的熵值阈值；

依据所述熵值及所述熵值阈值，判断是否存在网络异常；

当存在网络异常时，确定所述多个采样报文中至少一对端到端通信的通信报文及通信报文数量，其中，每一对所述端到端通信的每一端均对应一个主机；

当所述端到端通信的通信报文数量小于预设统计阈值时，确定存在端口扫描攻击；

当存在所述端口扫描攻击时，依据所述至少一对所述端到端通信的通信报文，从多个所述主机中确定发起端口扫描攻击的攻击主机。

2.根据权利要求1所述的端口扫描攻击检测方法，其特征在于，所述特征字段包括源IP地址、目的IP地址及目的端口；

所述依据所述多个采样报文的总数及所述特征字段的每一取值在所述多个采样报文中的次数，计算所述特征字段的熵值的步骤，包括：

依据所述多个采样报文的总数及所述源IP地址的每一取值在所述多个采样报文中的次数，计算所述源IP地址的熵值；

依据所述多个采样报文的总数及所述目的IP地址的每一取值在所述多个采样报文中的次数，计算所述目的IP地址的熵值；

依据所述多个采样报文的总数及所述目的端口的每一取值在所述多个采样报文中的次数，计算所述目的端口的熵值；

所述依据所述历史采样报文中特征字段的历史熵值计算所述特征字段的熵值阈值的步骤，包括：

依据所述历史采样报文中源IP地址的历史熵值计算所述源IP地址的熵值阈值；

依据所述历史采样报文中目的IP地址的历史熵值计算所述目的IP地址的熵值阈值；

依据所述历史采样报文中目的端口的历史熵值计算所述目的端口的熵值阈值。

3.根据权利要求2所述的端口扫描攻击检测方法，其特征在于，所述依据所述熵值及熵值阈值，判断是否存在网络异常的步骤，包括：

当所述源IP地址的熵值小于源IP地址熵值阈值且目的IP地址的熵值小于目的IP地址的熵值阈值、或者当所述源IP地址的熵值小于源IP地址熵值阈值且目的端口的熵值小于目的端口的熵值阈值时，判定存在网络异常。

4.根据权利要求1所述的端口扫描攻击检测方法，其特征在于，每一所述采样报文还包括源IP地址、源端口、目的IP地址及目的端口，所述源IP地址和源端口组成第一套接字，所述目的IP地址和目的端口组成第二套接字，所述当存在网络异常时，确定所述多个采样报文中至少一对端到端通信的通信报文及通信报文数量的步骤包括：

将所述第一套接字作为一对端到端通信的第一端，将所述第二套接字作为该端到端通信的第二端；

将从所述第一端至所述第二端的采样报文作为第一通信报文，并将从所述第二端至所述第一端的采样报文作为第二通信报文；

将所述第一通信报文的报文数量及第二通信报文的报文数量之和作为一对端到端通信的通信报文数量。