[發明專利]一種端口掃描的檢測方法及裝置有效
| 申請號: | 202011012504.7 | 申請日: | 2020-09-23 |
| 公開(公告)號: | CN112187775B | 公開(公告)日: | 2021-09-03 |
| 發明(設計)人: | 劉斐然 | 申請(專利權)人: | 北京微步在線科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 北京金信知識產權代理有限公司 11225 | 代理人: | 喻嶸 |
| 地址: | 100086 北京市海*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 端口掃描 檢測 方法 裝置 | ||
1.一種端口掃描的檢測方法,其特征在于,包括:
在組內設備運行過程中,獲取組內所有設備接收到的數據包;
根據所述數據包的多項參數判斷所述數據包是否為端口掃描對應的數據包;具體包括:
根據數據包對應的源地址確定非可信數據包;
根據來自同一源地址的非可信數據包的有效發送頻率確定所述非可信數據包中的候選數據包,具體為:統計自同一源地址的非可信數據包對應的源地址在預設時間段內發送有效數據包的數量是否大于預設數量,其中,所述有效數據包為目的地址和目的端口都不同的數據包;當大于預設數量時,確定所述非可信數據包為候選數據包;
根據第一預設規則從所述候選數據包中選取端口掃描對應的數據包;
當所述數據包為端口掃描對應的數據包時,顯示所述端口掃描對應的數據包的源地址。
2.如權利要求1所述的方法,其特征在于,所述根據數據包對應的源地址確定非可信數據包,包括:
根據第二預設規則確定可信地址;
確定組內所有設備接收到的數據包中,除所述可信地址對應的數據包之外的其他數據包為非可信數據包。
3.如權利要求2所述的方法,其特征在于,所述根據第二預設規則確定可信地址,包括:
確定所述排名信息中高于預設排名的域名為可信地址;
和/或
獲取本地預存儲的地址白名單;
確定所述地址白名單中的地址為可信地址;
和/或
確定提供預設服務的服務器地址為可信地址。
4.如權利要求1所述的方法,其特征在于,當候選數據包對應的源地址為一個時,根據第一預設規則從所述候選數據包中選取端口掃描對應的數據包,包括:
判斷所述候選數據包是否都小于預設字節數;
當所述候選數據包都小于預設字節數時,確定所述候選數據包為端口掃描對應的數據包。
5.如權利要求1所述的方法,其特征在于,當候選數據包對應的源地址為多個時,根據第一預設規則從所述候選數據包中選取端口掃描對應的數據包,包括:
從所述多個源地址對應的候選數據包中,選取對應于同一源地址,且數量級最大的候選選數據包為目標數據包;
判斷所述目標數據包是否都小于預設字節數;
當所述目標數據包都小于預設字節數時,確定所述目標數據包為端口掃描對應的數據包。
6.如權利要求1所述的方法,其特征在于,所述當所述數據包為端口掃描對應的數據包時,顯示所述端口掃描對應的數據包的源地址,包括:
當所述數據包為端口掃描對應的數據包時,將所述端口掃描對應的數據包的地址存放于預警列表中;
從所述預警列表中獲取并顯示所述端口掃描對應的數據包的地址。
7.一種端口掃描的檢測裝置,其特征在于,包括:
獲取模塊,用于在組內設備運行過程中,獲取組內所有設備接收到的數據包;
判斷模塊,用于根據所述數據包的多項參數判斷所述數據包是否為端口掃描對應的數據包;所述判斷模塊包括:
第一確定子模塊,用于根據數據包對應的源地址確定非可信數據包;
第二確定子模塊,用于根據來自同一源地址的非可信數據包的有效發送頻率確定所述非可信數據包中的候選數據包;所述第二確定子模塊具體用于:統計自同一源地址的非可信數據包對應的源地址在預設時間段內發送有效數據包的數量是否大于預設數量,其中,所述有效數據包為目的地址和目的端口都不同的數據包;當大于預設數量時,確定所述非可信數據包為候選數據包;
選取子模塊,用于根據第一預設規則從所述候選數據包中選取端口掃描對應的數據包;
顯示模塊,用于當所述數據包為端口掃描對應的數據包時,顯示所述端口掃描對應的數據包的源地址。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京微步在線科技有限公司,未經北京微步在線科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011012504.7/1.html,轉載請聲明來源鉆瓜專利網。
