[发明专利]一种风险端口检测方法、装置、设备和介质

权利要求书

1.一种风险端口检测方法，其特征在于，包括：

获取连接的审计日志，所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口；

根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息，确定所述源IP和所述目的IP的内外网属性；所述IP地址库中包括多个IP的IP地址归属信息，在IP地址库中匹配到与源IP对应的内外网属性；所述资产配置信息中存储有多个IP的资产属性，即哪些网段属于内网终端，哪些网段是内网的服务器，哪些网段是内网的IP；通过所述资产属性可以确定所述目的IP的内外网属性；

根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口；

其中，所述根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口，包括：

以所述目的IP、目的端口为键对所述审计日志进行聚合，得到访问所述目的端口的源IP的数量和/或数据包大小和/或数据包数量；

当所述源IP的数量大于预设IP数量和/或所述数据包数量大于预设数量和/或所述数据包大小大于预设大小时，判定所述目的IP对应的目的端口已开放，并结合预设风险应用端口信息，确定聚合后的所述目的IP对应的所述目的端口是否为所述风险端口。

2.根据权利要求1所述的风险端口检测方法，其特征在于，所述审计日志包括流量审计日志，所述流量审计日志为对获取的流量信息进行审计得到，其中，所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。

3.根据权利要求2所述的风险端口检测方法，其特征在于，还包括：针对连接建立连接跟踪，利用所述连接跟踪得到所述流量信息。

4.根据权利要求2所述的风险端口检测方法，其特征在于，所述流量审计日志包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、应用信息、响应数据包数和响应数据包总大小中的一种或多种。

5.根据权利要求1所述的风险端口检测方法，其特征在于，所述审计日志包括：协议审计日志，所述协议审计日志为通过协议类型和/或操作阶段对流量信息进行协议审计得到，其中，所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。

6.根据权利要求5所述的风险端口检测方法，其特征在于，所述通过协议类型和/或操作阶段对所述流量信息进行协议审计包括：

根据连接协议的协议类型和/或所述流量信息对应的操作阶段，确定所述连接对应的审计字段，基于所述审计字段对所述流量信息进行审计得到所述协议审计日志。

7.一种风险端口检测装置，其特征在于，包括：

获取模块，用于获取连接的审计日志，所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口；

内外网属性确定模块，用于根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息，确定所述源IP和所述目的IP的内外网属性；所述IP地址库中包括多个IP的IP地址归属信息，在IP地址库中匹配到与源IP对应的内外网属性；所述资产配置信息中存储有多个IP的资产属性，即哪些网段属于内网终端，哪些网段是内网的服务器，哪些网段是内网的IP；通过所述资产属性可以确定所述目的IP的内外网属性；

风险端口确定模块，用于根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口；

其中，所述风险端口确定模块，具体用于：

以所述目的IP、目的端口为键对所述审计日志进行聚合，得到访问所述目的端口的源IP的数量和/或数据包大小和/或数据包数量；

当所述源IP的数量大于预设IP数量和/或所述数据包数量大于预设数量和/或所述数据包大小大于预设大小时，判定所述目的IP对应的目的端口已开放，并结合预设风险应用端口信息，确定聚合后的所述目的IP对应的所述目的端口是否为所述风险端口。