本發明公開了一種確定可疑IP的方法及裝置，此方法包括：獲取網絡數據；從所述網絡數據中過濾開放端口訪問數據；從過濾后的數據中提取訪問未開放端口的可疑訪問數據；提取所述可疑訪問數據的來源IP和訪問時間；對每個IP執行以下內容：確定IP訪問各設備的未開放端口的操作所滿足的預設規則，針對此IP的惡意值執行所滿足的各預設規則對應的惡意值調整策略；將惡意值大于預設惡意值的IP作為可疑IP。本發明可以自動、智能、快速的確定可疑IP，大大提高處理中速度，降低維護成本，尤其適合業務快速變化的場景。

技術領域

本發明涉及互聯網技術領域，尤其涉及一種確定可疑IP的方法及裝置。

背景技術

在安全領域里幾乎所有的滲通都會用到端口掃描技術來探查目標服務器端口開放狀態從中尋找可以攻擊的弱端口或猜測服務器運行的服務類型，直接反映服務器外端安全狀態。因此需要惡意端口掃描檢測來感知

端口類似于去往計算機上的特定應用的入口或門口。端口可以是開放的或關閉的。服務器上的開放端口是與當前在服務器上可用的應用相關聯的端口，以便由一個或多個客戶端計算機使用。關閉的端口是沒有與服務器上可用的應用或服務相關聯的端口。黑客通常不能通過關閉的端口來訪問計算機。

計算設備可以通過指定與服務器上的特定應用相關聯的端口號，來訪問此特定應用。然而，有時候未授權的或惡意的用戶可能想訪問服務器上的應用或服務，目的在于對服務器發起攻擊。這些用戶通常稱為黑客或計算機竊賊。被黑客攻擊的服務器可以稱為預期受害者。

黑客通常不知道預期受害者上有什么可用的應用或服務。因此，黑客可能執行端口掃描。端口掃描是一種系統地掃描計算機的端口的方法，以便確定哪些端口是與可用的應用或服務相關聯的開放端口，而哪些端口是關閉的端口。在端口掃描中，發送請求與每個公知端口的連接的一系列消息。從預期受害者接收到的響應指示公知端口是開放端口還是關閉的端口。黑客使用端口掃描來定位去往計算機的、易受攻擊的開放訪問點。

端口掃描的檢測方式是判定數據包的目標地址端口是否開放，依賴于數據包和本地開放端口。

主機入侵檢測方式：

一，指定幾臺服務器為誘捕服務器(蜜罐服務器)不處理業務服務

二，在陷阱服務器開啟一些常見端口、或弱端口

三，等待攻擊使用端口掃描工具向這些端口發送數據來判定是否被掃描

主機入侵檢測方式的缺點包括：

一，檢測范圍過小誘捕服務器不多，誘捕端口也不夠多

二，檢測到被掃描不能精確到業務服務器

網絡入侵檢測方式：

一，入侵檢測抓取所有經過網關的數據包

二，人工填寫所有服務器開放的端口

三，一一對比數據目標端口與開放端口判定是否被掃描

網絡入侵檢測方式的缺點包括：

開放端口列表由人工提供更新慢導致誤報；

人工維護成本大；

需要業務服務配合在開放端口前通知人工更新(不適合業務快速變化的場景)；

不適應去中心的網絡結構。

發明內容

為了解決上述技術問題，本發明提供了一種確定可疑IP的方法及裝置。

本發明提供的確定可疑IP的方法，包括：

獲取網絡數據；

從所述網絡數據中過濾開放端口訪問數據；