[发明专利]一种端口扫描的检测方法及装置有效
| 申请号: | 202011012504.7 | 申请日: | 2020-09-23 |
| 公开(公告)号: | CN112187775B | 公开(公告)日: | 2021-09-03 |
| 发明(设计)人: | 刘斐然 | 申请(专利权)人: | 北京微步在线科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 北京金信知识产权代理有限公司 11225 | 代理人: | 喻嵘 |
| 地址: | 100086 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 端口扫描 检测 方法 装置 | ||
1.一种端口扫描的检测方法,其特征在于,包括:
在组内设备运行过程中,获取组内所有设备接收到的数据包;
根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包;具体包括:
根据数据包对应的源地址确定非可信数据包;
根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包,具体为:统计自同一源地址的非可信数据包对应的源地址在预设时间段内发送有效数据包的数量是否大于预设数量,其中,所述有效数据包为目的地址和目的端口都不同的数据包;当大于预设数量时,确定所述非可信数据包为候选数据包;
根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包;
当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址。
2.如权利要求1所述的方法,其特征在于,所述根据数据包对应的源地址确定非可信数据包,包括:
根据第二预设规则确定可信地址;
确定组内所有设备接收到的数据包中,除所述可信地址对应的数据包之外的其他数据包为非可信数据包。
3.如权利要求2所述的方法,其特征在于,所述根据第二预设规则确定可信地址,包括:
确定所述排名信息中高于预设排名的域名为可信地址;
和/或
获取本地预存储的地址白名单;
确定所述地址白名单中的地址为可信地址;
和/或
确定提供预设服务的服务器地址为可信地址。
4.如权利要求1所述的方法,其特征在于,当候选数据包对应的源地址为一个时,根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包,包括:
判断所述候选数据包是否都小于预设字节数;
当所述候选数据包都小于预设字节数时,确定所述候选数据包为端口扫描对应的数据包。
5.如权利要求1所述的方法,其特征在于,当候选数据包对应的源地址为多个时,根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包,包括:
从所述多个源地址对应的候选数据包中,选取对应于同一源地址,且数量级最大的候选选数据包为目标数据包;
判断所述目标数据包是否都小于预设字节数;
当所述目标数据包都小于预设字节数时,确定所述目标数据包为端口扫描对应的数据包。
6.如权利要求1所述的方法,其特征在于,所述当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址,包括:
当所述数据包为端口扫描对应的数据包时,将所述端口扫描对应的数据包的地址存放于预警列表中;
从所述预警列表中获取并显示所述端口扫描对应的数据包的地址。
7.一种端口扫描的检测装置,其特征在于,包括:
获取模块,用于在组内设备运行过程中,获取组内所有设备接收到的数据包;
判断模块,用于根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包;所述判断模块包括:
第一确定子模块,用于根据数据包对应的源地址确定非可信数据包;
第二确定子模块,用于根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包;所述第二确定子模块具体用于:统计自同一源地址的非可信数据包对应的源地址在预设时间段内发送有效数据包的数量是否大于预设数量,其中,所述有效数据包为目的地址和目的端口都不同的数据包;当大于预设数量时,确定所述非可信数据包为候选数据包;
选取子模块,用于根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包;
显示模块,用于当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京微步在线科技有限公司,未经北京微步在线科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011012504.7/1.html,转载请声明来源钻瓜专利网。
