[发明专利]利用地址解析协议进行网络扫描的行为检测方法及装置

权利要求书

1.一种利用地址解析协议进行网络扫描的行为检测方法，其特征在于，所述方法包括：

获取通信信息，其中，所述通信信息包括源地址、目的地址、请求时间以及请求结果；

根据所述源地址对应的目的地址以及所述源地址对应的请求时间，确定所述源地址对应的请求规律；

根据所述请求规律确定请求规律得分，根据所述源地址对应的请求结果确定请求结果得分，根据所述源地址对应的目的地址确定请求广度得分；

根据所述请求规律得分、所述请求结果得分以及所述请求广度得分，在多个所述通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定所述目标源地址对应的目标请求为网络扫描行为。

2.根据权利要求1所述的检测方法，其特征在于，所述请求规律包括字符规律；

所述根据所述源地址对应的目的地址以及所述源地址对应的请求时间，确定所述源地址对应的请求规律，具体包括：

根据所述通信信息，确定与所述源地址对应的至少一个第一目的地址；

将每个所述第一目的地址切分成为多个地址段，确定每个所述地址段在所述第一目的地址中的位置，并将所述位置相同的地址段作为一个地址段集合；

在每个所述地址段集合中，按照所述地址段对应的第一目的地址由小至大的顺序，为多个所述地址段排序，将每个所述地址段作为第一层地址段序列中的元素，得到与所述地址段集合对应的所述第一层地址段序列；

在第i层地址段序列中，将相邻两个所述元素相减，得到第i+1层地址段序列，其中，i＝1或i＝2；

根据第三层地址段序列中的元素确定所述字符规律。

3.根据权利要求1所述的检测方法，其特征在于，所述请求规律包括访问规律；

所述根据所述源地址对应的目的地址以及所述源地址对应的请求时间，确定所述源地址对应的请求规律，具体包括：

在所述通信信息中，分别确定所述源地址在每个预设时间窗内的目标请求时间以及所述目标请求时间对应的第二目的地址；

对多个所述第二目的地址去重，得到第二目的地址的地址数量；

按照所述时间窗由先至后的顺序，为多个所述时间窗对应的地址数量排序，并将每个所述地址数量作为第一层地址数量序列中的元素，得到所述第一层地址数量序列；

对第j层地址数量序列中的元素，采用相邻两个元素相减做差的方式，得到第j+1层地址数量序列，其中，j＝1或j＝2；

根据第三层地址数量序列中的元素确定所述访问规律。

4.根据权利要求1所述的检测方法，其特征在于，所述请求规律包括波动规律，

所述根据所述源地址对应的目的地址以及所述源地址对应的请求时间，确定所述源地址对应的请求规律，具体包括：

在所述通信信息中，分别确定所述源地址对应的第三目的地址以及每个所述第三目的地址的访问次数；

按照所述第三目的地址由小至大的顺序，为多个所述第三目的地址对应的访问次数排序，并将每个所述访问次数作为第一层访问次数序列中的元素，得到所述第一层访问次数序列；

对第k层访问次数序列中的元素，采用相邻两个元素相减做差的方式，得到第k+1层访问次数序列，其中，k＝1或k＝2；

根据第三层访问次数序列中的元素确定所述波动规律。

5.根据权利要求1所述的检测方法，其特征在于，所述根据所述源地址对应的请求结果确定请求结果得分，具体包括：

根据所述源地址对应的至少一个请求结果，在所述源地址对应的通信信息中，确定所述请求结果为访问失败的失败通信信息，并确定所述失败通信信息数量，以及所述失败通信信息在所述通信信息中的比例；

利用孤独森林模型，根据所述失败通信信息数量以及所述比例，确定所述请求结果得分。

6.根据权利要求5所述的检测方法，其特征在于，根据源地址对应的目的地址确定请求广度得分，具体包括：

根据多个所述通信信息，确定所述源地址对应的通信信息的数量以及所述源地址对应的第四目的地址的数量；

利用所述孤独森林模型，根据所述源地址对应的通信信息的数量以及所述第四目的地址的数量，确定所述请求广度得分。