[发明专利]一种端口扫描的检测方法及装置

说明书

本申请公开了一种端口扫描的检测方法及装置，用以提高端口扫描的检测精准度。所述方法包括：在组内设备运行过程中，获取组内所有设备接收到的数据包；根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包；当所述数据包为端口扫描对应的数据包时，显示所述端口扫描对应的数据包的源地址。采用本申请所提供的方案，能够获取组内所有设备接收到的数据包，从而可以根据组内所有设备接收到的数据包进行端口扫描的检测，避免漏报，其次，通过数据包的多项参数判断所述数据包是否为端口扫描对应的数据包，避免仅统计数据包数量导致端口扫描的检测精准度低的问题，提升了端口扫描的检测精准度。

技术领域

本申请涉及网络安全领域，特别涉及一种端口扫描的检测方法及装置。

背景技术

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。往往发生在渗透攻击的初期。

现有的端口扫描攻击，由于其原理是通过统计短期内发送的数据包数量来检测的，没有考虑其他因素，所以在检测过程中会存在两个主要问题：1.漏报：传统的端口扫描是对单一的目标进行全端口扫描，近代的端口扫描往往是对一组目标进行单一端口的扫描，现有的检测方法是不能检测到这种扫描的。2.误报：现有的检测方法对于某些短时间会产生大量数据包的应用会产生误报，如：P2P下载等。也会对某类IP产生误报，如组网区域的网络出口，由于这类IP背后的用户很多，也会在短期产生大量数据包。由于现有的检测方式会产生漏报和误报，现有的检测方式对于端口扫描的检测精准度较低，因此，如何提供一种端口扫描的检测方法，以提高端口扫描的检测精准度，是一亟待解决的技术问题。

发明内容

本申请实施例的目的在于提供一种端口扫描的检测方法及装置，用以提高端口扫描的检测精准度。

为了解决上述技术问题，本申请的实施例采用了如下技术方案：一种端口扫描的检测方法，包括：

在组内设备运行过程中，获取组内所有设备接收到的数据包；

根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包；

当所述数据包为端口扫描对应的数据包时，显示所述端口扫描对应的数据包的源地址。

本申请的有益效果在于：能够获取组内所有设备接收到的数据包，从而可以根据组内所有设备接收到的数据包进行端口扫描的检测，避免漏报，其次，通过数据包的多项参数判断所述数据包是否为端口扫描对应的数据包，避免仅统计数据包数量导致端口扫描的检测精准度低的问题，提升了端口扫描的检测精准度。

在一个实施例中，所述根据数据包的多项参数判断所述数据包是否为端口扫描对应的数据包，包括：

根据数据包对应的源地址确定非可信数据包；

根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包；

根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包。

在一个实施例中，所述根据数据包对应的源地址确定非可信数据包，包括：

根据第二预设规则确定可信地址；

确定组内所有设备接收到的数据包中，除所述可信地址对应的数据包之外的其他数据包为非可信数据包。

在一个实施例中，所述根据第二预设规则确定可信地址，包括：

从域名信息查询服务对应的网站中抓取全球域名的排名信息；

确定所述排名信息中高于预设排名的域名为可信地址；

和/或

获取本地预存储的地址白名单；