[发明专利]一种风险端口检测方法、装置、设备和介质

说明书

本申请提供一种风险端口检测方法、装置、设备和介质，该方法包括：获取连接的审计日志，审计日志的审计字段包括源IP、目的IP、与目的IP对应的目的端口；根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息，确定源IP和目的IP的内外网属性；根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。本申请实时检测出内网对内网或者内网对外网开放的风险端口，极大地提高了风险端口检测的实时性和准确性，改善用户体验。

技术领域

本申请涉及端口检测技术领域，特别涉及一种风险端口检测方法、装置、电子设备和计算机可读存储介质。

背景技术

相关技术中进行端口扫描主要是主动发送数据包探测，直接通过端口的连通性判断端口是否开放，依赖主动扫描，不能实现实时扫描；持续大量的发送数据包可能造成网络拥堵；由于端口扫描简单，造成检测准确性较低的问题。

因此，如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。

发明内容

本申请的目的是提供一种风险端口检测方法、装置、电子设备和计算机可读存储介质，能够实时检测出内网对内网或者内网对外网开放的风险端口，极大地提高了风险端口检测的实时性和准确性，改善用户体验。其具体方案如下：

本申请提供了一种风险端口检测方法，包括：

获取连接的审计日志，所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口；

根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息，确定所述源IP和所述目的IP的内外网属性；

根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口。

优选的，所述审计日志包括流量审计日志，所述流量审计日志为对获取的流量信息进行审计得到，其中，所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。

优选的，还包括：针对所述连接建立连接跟踪，利用所述连接跟踪得到所述流量信息。

优选的，所述流量审计日志包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、应用信息、响应数据包数和响应数据包总大小中的一种或多种。

优选的，所述审计日志包括：协议审计日志，所述协议审计日志为通过协议类型和/或操作阶段对所述流量信息进行协议审计得到，其中，所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。

优选的，所述通过协议类型和/或操作阶段对所述流量信息进行协议审计包括：

根据所述连接的协议的协议类型和/或所述流量信息对应的操作阶段，确定所述连接对应的审计字段，基于所述审计字段对所述流量信息进行审计得到所述协议审计日志。

优选的，所述根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口，包括：

以所述目的IP、目的端口为键对所述审计日志进行聚合，得到访问所述目的端口的源IP的数量和/或数据包大小和/或数据包数量；

根据访问所述目的端口的源IP的数量和/或所述数据包大小和/或所述数据包数量，结合预设风险应用端口信息，确定聚合后的所述目的IP对应的所述目的端口是否为所述风险端口。

本申请提供了一种风险端口检测装置，包括：

获取模块，用于获取连接的审计日志，所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口；

内外网属性确定模块，用于根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息，确定所述源IP和所述目的IP的内外网属性；