4.根據權利要求1所述的一種面向高速網絡抽樣數據采集場景的慢速端口掃描檢測方法，其特征在于，所述步驟(3)中，所使用的掃描檢測sketch詳細信息以及提取特征的具體步驟如下：

(3.1)基于TCP端口掃描的特點，所選擇的TCP流量特征為：IP地址發送和接收的數據包數目之比、IP地址發送和接收的帶有SYN標志的數據包數目之比、TCP數據包的目的IP分散度以及TCP數據包的目的端口分散度；基于UDP端口掃描的特點，所選擇的UDP流量特征為：IP地址發送和接收的數據包數目之比、UDP數據包的目的IP分散度以及UDP數據包的目的端口分散度；

(3.2)根據所選擇的特征，設計了掃描檢測sketch用于特征提取，掃描檢測sketch是在Count-Min sketch的基礎上改進而來的，它由d行w列的二維數組桶組成，每個桶包含4個計數器和2個哈希表，用于存儲一個數據包的多個特征，其中哈希表實際上是一個16位的比特數組，比特值是0或1，初始值全為0，掃描檢測sketch支持兩種基本操作：更新操作和提取操作，其中更新操作包括兩個子操作，即更新計數器操作和更新哈希表操作，更新計數器操作即將被映射的桶中的計數器執行加1操作，更新哈希表操作的具體步驟如下：將當前數據包的端口號或目的IP地址提取出來作為key，再將key用哈希函數映射到相應的哈希表中，被映射到的比特位從原始的0置為1，如果被映射的比特已經被置為1，則保持不變；因此哈希表中1的分布情況體現了key的分散度；提取操作是指，當一個IP地址接收和發送的數據包數目總和達到閾值θ時，當前key所映射的d個桶中，計數器達到該閾值的桶中的所有值被提取出來作為一筆特征向量記錄，并將該數據包所映射的所有桶中的值減去最小計數桶值；

(3.3)當一個數據包到達，它的(IP，協議)對會被提取出來作為key，提取的key被用作一個哈希函數的輸入，每個數據包的(源IP，協議)和(目的IP，協議)會被分別提取出來映射一次，掃描檢測sketch同時處理TCP和UDP數據包；

(3.4)哈希函數輸出的128位值被劃分成d個部分，每個部分代表sketch二維數組中每行的一個地址，該地址位置上的桶會更新相應的計數器和哈希表；

(3.5)當一個IP接收和發送的數據包總和達到閾值θ，執行提取操作，提取出的特征向量記錄是機器學習模型訓練的基礎。