CN106506557A - 一种端口扫描检测方法及装置 - Google Patents

一种端口扫描检测方法及装置 Download PDF

Info

Publication number
CN106506557A
CN106506557A CN201611246755.5A CN201611246755A CN106506557A CN 106506557 A CN106506557 A CN 106506557A CN 201611246755 A CN201611246755 A CN 201611246755A CN 106506557 A CN106506557 A CN 106506557A
Authority
CN
China
Prior art keywords
cluster
connection
response person
connection response
advance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611246755.5A
Other languages
English (en)
Other versions
CN106506557B (zh
Inventor
袁帅
皮靖
汪可
尹飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201611246755.5A priority Critical patent/CN106506557B/zh
Publication of CN106506557A publication Critical patent/CN106506557A/zh
Application granted granted Critical
Publication of CN106506557B publication Critical patent/CN106506557B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

本发明实施例公开了一种端口扫描检测方法及装置,所述方法包括:A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的信息,确定聚类后的类别数量;C:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件;如果否,进行B;D:如果是,将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。用以解决现有技术存在端口扫描检测范围小、检测精度不高和性能不好的问题。

Description

一种端口扫描检测方法及装置
技术领域
[0001] 本发明涉及网络安全技术领域,尤其涉及一种端口扫描检测方法及装置。
背景技术
[0002] 端口扫描指使用端口扫描工具来探测接收设备开放端口的行为,端口扫描本身不是恶意的网络行为,但是常被一些非法用户用于发现接收设备的漏洞,利用接收设备的漏洞,给接收设备的正常运行造成影响,带来损失。如果接收设备可以得知存在连接发起者在对自身进行端口扫描,可以启动相应的防护措施,保护自身的安全,避免损失。
[0003] 然而,现有技术中,多是在接收设备上开展端口扫描检测,如果有连接发起者在设定的时间内访问了该接收设备较多的端口,则判断存在端口扫描检测行为,这种检测方法只能针对特定的接收设备,检测的范围较小,并且如果接收设备与连接发起者进行正常的数据传输时,利用到了接收设备多个端口,很容易造成误判,端口扫描检测的精度不高、性能不好。
发明内容
[0004] 本发明提供一种端口扫描检测方法及装置,用以解决现有技术中存在端口扫描检测范围小、检测精度不高和性能不好的问题。
[0005] 为达到上述目的,本发明实施例公开了一种端口扫描检测方法,所述方法包括:
[0006] A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量;
[0007] B、根据确定的特征向量,确定聚类后的类别数量;
[0008] C:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件;如果否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,进行B;
[0009] D:如果是,将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
[0010] 进一步地,所述确定每个连接发起者与连接响应者之间的特征向量包括:
[0011] 针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
[0012] 进一步地,所述统计设定时间长度内每个连接发起者向连接响应者发起数据传输的次数之前,所述方法还包括:
[0013] 针对获取的每个单向网络流程序netf low,从中选取满足传输控制协议TCP的netflow;
[0014] 将选取的netf low拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
[0015] 进一步地,所述根据确定的特征向量,确定聚类后的类别数量包括:
[0016] 针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
[0017] 进一步地,所述根据确定的特征向量,确定聚类后的类别数量包括:
[0018] 根据确定的特征向量采用手肘法,确定聚类后的类别数量。
[0019] 进一步地,当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件包括:
[0020]当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量。
[0021] 本发明实施例公开了一种端口扫描检测装置,所述装置包括:
[0022] 第一确定模块,用于统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量;
[0023] 第二确定模块,用于根据确定的特征向量,确定聚类后的类别数量;
[0024]判断模块,用于根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件,如果判断结果为否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,触发第二确定模块,如果判断结果为是,触发第三确定模块。
[0025] 第三确定模块,用于将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
[0026] 进一步地,所述第一确定模块,具体用于针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
[0027] 进一步地,所述装置还包括:
[0028] 选取确定模块,用于针对获取的每个单向网络流程序netflow,从中选取满足传输控制协议TCP的netf low;将选取的netf low拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
[0029] 进一步地,所述第二确定模块,具体用于针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
[0030] 进一步地,所述第二确定模块,具体用于根据确定的特征向量采用手肘法,确定聚类后的类别数量。
[0031] 进一步地,所述判断模块,具体用于当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量,确定当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件。
[0032]由于在本发明实施例中,统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量,针对多个连接发起者与连接响应者同时进行端口扫描检测,扩大了端口扫描检测的范围,并且根据多个参数确定特征向量,根据多个参数对端口扫描进行判断,避免了使用单一参数进行端口扫描检测造成的误判,提高了端口扫描检测的精度与性能。
附图说明
[0033]图1为本发明实施例1提供的一种端口扫描检测过程示意图;
[0034]图2为本发明实施例3提供的解析后的netf low包含的信息示意图;
[0035]图3为本发明实施例3提供的一种端口扫描检测过程示意图;
[0036]图4为本发明实施例5提供的一种端口扫描检测过程示意图;
[0037]图5为本发明实施例6提供的一种端口扫描检测装置结构示意图;
[0038]图6为本发明实施例7提供的一种端口扫描检测过程示意图;
[0039]图7为本发明实施例7提供的一种端口扫描检测过程示意图。
具体实施方式
[0040]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0041] 实施例1:
[0042]图1为本发明实施例提供的一种端口扫描检测过程示意图,该过程包括:
[0043] SlOl:统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量。
[0044] 在本发明实施例中,连接发起者通常是指发起端口扫描的个人电脑(PC)、服务器等设备,连接响应者通常是指端口被扫描的服务器等设备。端口扫描时,连接发起者一般使用端口扫描工具对连接响应者进行端口扫描,实质上是连接发起者向连接响应者每个端口进行数据包传输,每次只进行一次数据传输,因为连接响应者只开放了少量的接收端口,所以连接发起者向连接响应者发送的数据包只有少量的数据包得到了连接响应者的响应。同时,因为连接发起者在短时间内需要扫描较多的连接响应者的接收端口,所以连接发起者需要在短时间内向连接响应者较多的端口发送数据包,需要较快的发送速率。并且因为端口扫描时,发送的数据包只作为对连接响应者的端口探测,包含的信息较少,所以每次数据包传输时包含的数据包的大小相近,且数量较少。
[0045] 在本发明实施例中预先设定了时间长度,该设定时间长度可以为2分钟、5分钟、7分钟等。统计设定时间长度内,每个连接发起者向连接响应者进行数据包传输的次数,连接响应者向连接发起者进行数据包传输的次数,连接发起者向连接响应者进行每次数据发送的时长、连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,根据所述设定时间长度内统计的信息确定连接发起者与连接响应者之间的特征向量的参数。
[0046] S102:根据确定的特征向量,确定聚类后的类别数量。
[0047] 具体的,可以根据确定的特征向量的数量,确定聚类后的类别数量,例如:假设类别数量为n,n的取值从I开始,将特征向量划分为η个类别中,计算每个类别中每个特征向量的算术平方和记录为V1,其中i的取值范围为大于等于O小于等于η,确定类别数量为η对应的总算术平方和为νΡη = νΐ+...+νί+…+Vn,按照相同的方法,将特征向量划分为η+1个类别中,确定类别数量为η+1对应的总算术平方和VPn+1,将特征向量划分为n+2个类别中,确定类别数量为n+2对应的总算术平方和VPn+2,其中n、n+l、n+2中η的取值相同,当η取值对应的VPn+2-VPn+1〈VPn+1-VPJt,确定n+2对应的值为聚类后的类别数量。
[0048] S1 3:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类。
[0049] 针对每个特征向量,选取对应类型数量的特征向量作为质点,根据每个特征向量与所述选取的每个质点的距离对所述每个特征向量进行聚类。例如:k-均值(k-means)聚类算法中每一步聚类都是根据个特征向量与所述选取的每个质点的距离进行聚类。
[0050] S104:判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件,如果是,进行S105,如果否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,进行S1 2。
[0051] 在本发明实施例中,所述标准点为预先根据存在端口扫描的设备在设定时间长度进行的数据包传输,根据SlOl统计的信息确定的特征向量对应的标准点。具体的,从当前每个聚类中选取聚类的中心点与预先设定的标准点的最小距离对应的聚类,所述聚类的中心点与预先设定的标准点的距离越小,说明该聚类中的特征向量与存在端口扫描对应的特征向量的相似度越高。例如:当前聚类中存在4个聚类分别为聚类1、聚类2、聚类3、聚类4,其中心点与标准点之间的距离分别为2、1、3、5,从中选取与标准点之间距离最小的聚类2。
[0052]判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件,该终止条件,可以是所述当前聚类的中心点与预先设定的标准点的最小距离小于设定阈值,也可以是所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类中每个特征向量的平方和的均值在预先设定的范围内。如果当前聚类的中心点与预先设定的标准点的最小距离对应的聚类不满足终止条件,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类中的特征向量作为输入特征向量,返回SI 02。
[0053] S105:将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
[0054]具体的,如果当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件,将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类,确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
[0055]由于在本发明实施例中,统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量,针对多个连接发起者与连接响应者同时进行端口扫描检测,扩大了端口扫描检测的范围,并且根据多个参数确定特征向量,根据多个参数对端口扫描进行判断,避免了使用单一参数进行端口扫描检测造成的误判,提高了端口扫描检测的精度与性能。
[0056] 实施例2:
[0057] 为了提高端口扫描检测的精度,在上述各实施例的基础上,在本发明实施例中,所述确定每个连接发起者与连接响应者之间的特征向量包括:
[0058] 针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
[0059]具体的,所述第一次数为设定时间内连接发起者向连接响应者进行数据包传输的次数,所述第二次数为设定时间内连接响应者向连接发起者进行数据包传输的次数。其中,第一参数的值越大,说明连接发起者向连接响应者发起的有效连接次数越少。第二参数的值越大,说明连接发起者向连接响应者较多的目的端口发送数据包,存在连接发起者对连接响应者进行端口扫描的几率越大。因为存在端口扫描时,连接发起者会在较短的时间内向连接响应者发送较多的用于检测的数据包,用于检测连接响应者的每个端口是否处于开启状态,对每个端口的检测次数为1,并且因检测用的数据包包含的信息较少所以每次数据包传输时包含的数据包的数量较少,接近于1,并且每个数据包的大小相近,接近于固定值,所以存在端口扫描时,第三参数的值接近于I,第四参数的值较大,说明连接发起者有较快的发送速率,第五参数的值接近于1、第六参数的值与预先统计的存在端口扫描时对应数据包的大小接近、第七参数为一个较大的数值,说明连接发起者对连接响应者的多个端口进行了扫描。
[ΟΟόΟ] 具体的,确定的特征向量中的第一参数为v_flow_rat1 = c_d2s/c_s2d,其中,v_flow_rat1为第一参数,c_d2s = Count (dstip->srcip)为连接响应者向连接发起者进行数据传输的次数,dstip为目的IP,即连接发起者的IP,srcip源IP,即连接响应者的IP,c_s2d= count (srcip->dstip)为连接发起者向连接响应者进行数据传输的次数,srcip目的IP,即连接响应者的IP,dstip为源IP,S卩连接发起者的IP;第二参数为cd_dip = count(distinct dstip),其中cd_dip为第二参数,dstip目的IP,为连接响应者的IP,用来确定连接响应者,distinct为连接响应者不重复的接收端口数量,即连接响应者接收端口的数量;第三参数为第二参数cd_dip = count (distinct dstip)与c_s2d的比值;第四参数为f low_speed = c_s2d/ (max (packrecvtime) -min (packrecvtime))的值,其中flow_speed为第四参数,(max (packrecvtime)为数据传输的最长时长,min (packrecvtime))为数据传输的最短时长;第五参数为avg_ppf = average (sum (packet) /c_s2d),其中avg_ppf 为第五参数,(sum(packet)为连接发起者与连接响应者之间传输的数据包的总数量;第六参数为avg_bpp =average (sum (bytes) /sum (packet)),其中avg_bpp为低六参数,sum (bytes)为连接发起者向连接响应者传输数据包的总大小;第七参数为c_s2d。
[0061] 实施例3:
[0062] 在上述各实施例的基础上,为了便于后续确定每个连接发起者与连接响应者之间的特征向量,在本发明实施例中,所述统计设定时间长度内每个连接发起者向连接响应者发起数据传输的次数之前,所述方法还包括:
[0063] 针对获取的每个单向网络流程序(netflow),从中选取满足传输控制协议(TCP)的netflow;
[0064] 将选取的netf low拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
[0005] 连接发起者与连接响应者之间每进行一次数据包的传输就会产生一个netf low,对每个netf low进行解析,可以获得netf low中包含的信息。如图2所示为本发明实施例提供的解析后的netf low包含的信息示意图,该netf low中包含数据包数量(packorg)、数据包大小(bytesorg)、源端口(srcport)、目的端口(dstport)、数据包控制标识(tcpflag)、协议(protocol)、源IP (srcip)、目的IP(destip)、数据包接收时间(packrecvtime)。在本发明实施例中对netflow进行解析是现有技术不再进行赘述。
[0066] 现有的端口扫描是基于传输控制协议(Transmiss1n Control Protocol,TCP)进行的端口扫描,在本发明实施例中为了减少端口扫描检测时的数据处理量,提高端口扫描检测的效率,针对获取的每个netflow,从中选取满足TCP协议的netflow。
[0067] 将选取的netf low拼接为双向流时,可以根据每个netf low中包含的源IP和目的IP,将源IP和目的IP相同的netflow分为第一类别,并将所述第一类别的目的IP作为第二类别的源IP,第一类别的源IP作为第二类别的目的IP,确定第二类别,将所述第一类别和所述第二类别中的ne tf I ow拼接为双向流。比较双向流中所述第一类别包含的ne tf I ow数量,与所述第二类别包含的netflow数量,将包含netflow数量较多的类别的源IP对应的设备作为连接发起者,目的IP对应的设备为连接响应者。
[0068]图3为本发明实施例提供的一种端口扫描检测过程示意图,该过程包括:
[0069] S301:针对获取的每个netf low,从中选取满足TCP的netf low。
[0070] S302:将选取的netflow拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
[0071] S303:统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量。
[0072] S304:根据确定的特征向量,确定聚类后的类别数量。
[0073] S30 5:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类。
[0074] S306:判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件,如果是,进行S307,如果否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,进行S304。
[0075] S307:将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
[0076] 实施例4:
[0077] 在聚类处理之前,需要确定聚类后的类别数量,该数量可以是一个固定的数值,也可以是根据特征向量的数量来确定的数值。为了保证端口扫描检测的准确性,在上述各实施例中,在本发明实施例中,所述根据确定的特征向量,确定聚类后的类别数量包括:
[0078] 针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
[0079]具体的,针对确定的特征向量,从类别数量为I开始,将特征向量划分为与所述类别数量相同的数量的组中,针对从数量为I开始的不同分组,采用组间平方和(betWeen_SS)与总平方和(tot_ss)的比例法,当between_ss/tot_ss的值趋于一个稳定值不再继续增大时的min (k),作为聚类后的类别数量,其中k为划分的组的数量。采用between_ss与tot_ss比例法,当between_ss/tot_ss的值趋于一个稳定值不再继续增大时的min (k),确定min (k)的过程属于现有技术,在本发明实施例中不再进行赘述。
[0080]或者,所述根据确定的特征向量,确定聚类后的类别数量包括:
[0081] 根据确定的特征向量采用手肘法,确定聚类后的类别数量。
[0082]具体的,针对确定的特征向量,从类别数量为I开始,将特征向量划分为与所述类别数量相同的数量的组中,针对从数量为I开始的不同分组,当损失函数(C o s t,组内平方和)趋于一个稳定值之前的一个明显拐点处的K作为聚类后的类别数量,其中K为划分的组的数量;具体的,可以绘制k-cost闪点图来确认组内偏移量,组内偏移量越大说明当前聚类的效果越差。在本发明实施例中,当损失函数(cost,组内平方和)趋于一个稳定值之前的一个明显拐点处的K的确定过程属于现有技术,在本发明实施例中不再进行赘述。
[0083] 实施例5:
[0084] 为了保证端口扫描检测的准确性,在上述各实施例的基础上,在本发明实施例中,当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件包括以下至少一种:
[0085]当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值;
[0086]当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数;和
[0087]当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量。
[0088] 在本发明实施例中,针对当前聚类的中心点与预先设定的标准点的最小距离对应的聚类,获取该聚类的中心点(cluster_1.center)、聚类次数(iter_count)、包含的特征向量的数量(cluster_1.size),如果该聚类满足dist (cluster_1.center,standard_point) <threshold_dist or iter_count>iter_max or cluster」.size〈min_td_count,则石角定,该聚类满足输出条件,其中standard_point为预先设定的标准点,threshold_dist为预先设定的聚类中心与标准点的距离阈值,i ter_max为预先设定的聚类次数,min_td_count为预先设定的特征数量。
[0089] 具体的,所述终止条件可以是上述终止条件中的一个,也可以是上述终止条件中的两个以上的组合,如果是组合,可以针对每个终止条件设置优先级,在对当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件进行判断时,可以按照设定的优先级顺序依次判断,只要满足当前优先级对应的终止条件则满足,否则继续对是否满足下一优先级对应的终止条件进行判断。
[0090]例如:将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值设置为第一优先级,将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数设置为第二优先级、将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量设置为第三优先级。针对当前聚类的中心点与预先设定的标准点的最小距离对应的聚类,判断所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足第一优先级对应的条件,如果满足则输出满足,终止判断,否则,继续判断所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足第二优先级对应的条件,如果满足则输出满足,终止判断,否则,继续判断所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足第三优先级对应的条件,如果满足则输出满足,终止判断,如果不满足,则输出不满足,终止判断。
[0091]图4为本发明实施例提供的一种端口扫描检测过程示意图,该过程包括:
[0092] S401:针对获取的每个netf low,从中选取满足TCP的netf low。
[0093] S402:将选取的netflow拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
[0094] S303:统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量。
[0095] S404:根据确定的特征向量,确定聚类后的类别数量。
[0096] S40 5:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类。
[0097] S406:判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点是否满足与预先设定的标准点的距离小于预先设定的距离阈值;或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数;或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量,如果任何一个的判断结果为是,进行S407,如果都为否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,进行S404。
[0098] S407:将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
[0099] 实施例6:
[0100]图5为本发明实施例提供的一种端口扫描检测装置结构示意图,该装置包括:
[0101] 第一确定模块51,用于统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量;
[0102] 第二确定模块52,用于根据确定的特征向量,确定聚类后的类别数量;
[0103]判断模块53,用于根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件,如果判断结果为否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,触发第二确定模块,如果判断结果为是,触发第三确定模块。
[0104] 第三确定模块54,用于将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
[0105] 所述第一确定模块51,具体用于针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
[0106] 所述装置还包括:
[0107] 选取确定模块55,用于针对获取的每个单向网络流程序netf low,从中选取满足传输控制协议TCP的netf low ;将选取的netf low拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
[0108] 所述第二确定模块52,具体用于针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
[0109] 所述第二确定模块52,具体用于根据确定的特征向量采用手肘法,确定聚类后的类别数量。
[0110] 所述判断模块53,具体用于当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量,确定当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件。
[0111] 实施例7:
[0112]图6和图7为本发明实施例提供的一种端口扫描检测过程示意图,在大数据分析系统中,例如绿盟的BSA数据分析系统,端口扫描检测应用ML Engine APP进行端口扫描检测时,管理人员预先根据存在端口扫描的设备对应的特征向量进行参数管理,设定标准点及终止条件等参数,根据接入的流数据,提取特征向量(ETL),将ELT输入到模型训练中,基于该模型训练,根据特征向量,确定聚类后的类别数量,根据确定的聚类后的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类,判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件的过程,得到目标聚类,输出端口扫描检测结果,进行结果展示。在先期进行参数管理时,管理人员还可以根据输出的端口扫描结果,对标准点及终止条件等参数进行调整,使得检测结果更准确。
[0113] 本发明实施例公开了一种端口扫描检测方法及装置,所述方法包括:A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量;B、根据确定的特征向量,确定聚类后的类别数量;C:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件;如果否,进行B;D:如果是,将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。由于在本发明实施例中,统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量,针对多个连接发起者与连接响应者同时进行端口扫描检测,扩大了端口扫描检测的范围,并且根据多个参数确定特征向量,根据多个参数对端口扫描进行判断,避免了使用单一参数进行端口扫描检测造成的误判,,提高了端口扫描检测的精度与性能。
[0114] 对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0115] 本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0116] 本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0117] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0118] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0119] 尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
[0120]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (12)

1.一种端口扫描检测方法,其特征在于,所述方法包括: A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量; B、根据确定的特征向量,确定聚类后的类别数量; C:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件;如果否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,进行B; D:如果是,将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
2.如权利要求1所述的方法,其特征在于,所述确定每个连接发起者与连接响应者之间的特征向量包括: 针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
3.如权利要求1所述的方法,其特征在于,所述统计设定时间长度内每个连接发起者向连接响应者发起数据传输的次数之前,所述方法还包括: 针对获取的每个单向网络流程序netflow,从中选取满足传输控制协议TCP的netflow; 将选取的netf low拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
4.如权利要求1所述的方法,其特征在于,所述根据确定的特征向量,确定聚类后的类别数量包括: 针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
5.如权利要求1所述的方法,其特征在于,所述根据确定的特征向量,确定聚类后的类别数量包括: 根据确定的特征向量采用手肘法,确定聚类后的类别数量。
6.如权利要求1所述的方法,其特征在于,当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件包括: 当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量。
7.一种端口扫描检测装置,其特征在于,所述装置包括: 第一确定模块,用于统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量; 第二确定模块,用于根据确定的特征向量,确定聚类后的类别数量; 判断模块,用于根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件,如果判断结果为否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,触发第二确定模块,如果判断结果为是,触发第三确定模块; 第三确定模块,用于将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
8.如权利要求7所述的装置,其特征在于,所述第一确定模块,具体用于针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
9.如权利要求7所述装置,其特征在于,所述装置还包括: 选取确定模块,用于针对获取的每个单向网络流程序netflow,从中选取满足传输控制协议TCP的netf low;将选取的netf low拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
10.如权利要求7所述装置,其特征在于,所述第二确定模块,具体用于针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
11.如权利要求7所述装置,其特征在于,所述第二确定模块,具体用于根据确定的特征向量采用手肘法,确定聚类后的类别数量。
12.如权利要求7所述装置,其特征在于,所述判断模块,具体用于当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量,确定当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件。
CN201611246755.5A 2016-12-29 2016-12-29 一种端口扫描检测方法及装置 Active CN106506557B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611246755.5A CN106506557B (zh) 2016-12-29 2016-12-29 一种端口扫描检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611246755.5A CN106506557B (zh) 2016-12-29 2016-12-29 一种端口扫描检测方法及装置

Publications (2)

Publication Number Publication Date
CN106506557A true CN106506557A (zh) 2017-03-15
CN106506557B CN106506557B (zh) 2019-09-17

Family

ID=58334788

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611246755.5A Active CN106506557B (zh) 2016-12-29 2016-12-29 一种端口扫描检测方法及装置

Country Status (1)

Country Link
CN (1) CN106506557B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109495428A (zh) * 2017-09-12 2019-03-19 蓝盾信息安全技术股份有限公司 一种基于流量特征和随机森林的端口扫描检测方法
CN110266668A (zh) * 2019-06-06 2019-09-20 新华三信息安全技术有限公司 一种端口扫描行为的检测方法及装置
CN110445772A (zh) * 2019-07-22 2019-11-12 武汉安问科技发展有限责任公司 一种基于主机关系的互联网主机扫描方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7500266B1 (en) * 2002-12-03 2009-03-03 Bbn Technologies Corp. Systems and methods for detecting network intrusions
CN103561048A (zh) * 2013-09-02 2014-02-05 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置
CN104394021A (zh) * 2014-12-09 2015-03-04 中南大学 基于可视化聚类的网络流量异常分析方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7500266B1 (en) * 2002-12-03 2009-03-03 Bbn Technologies Corp. Systems and methods for detecting network intrusions
CN103561048A (zh) * 2013-09-02 2014-02-05 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置
CN104394021A (zh) * 2014-12-09 2015-03-04 中南大学 基于可视化聚类的网络流量异常分析方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王晓鸽: "基于流量矩阵的网络入侵检测研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109495428A (zh) * 2017-09-12 2019-03-19 蓝盾信息安全技术股份有限公司 一种基于流量特征和随机森林的端口扫描检测方法
CN110266668A (zh) * 2019-06-06 2019-09-20 新华三信息安全技术有限公司 一种端口扫描行为的检测方法及装置
CN110266668B (zh) * 2019-06-06 2021-09-17 新华三信息安全技术有限公司 一种端口扫描行为的检测方法及装置
CN110445772A (zh) * 2019-07-22 2019-11-12 武汉安问科技发展有限责任公司 一种基于主机关系的互联网主机扫描方法及系统
CN110445772B (zh) * 2019-07-22 2021-07-30 武汉安问科技发展有限责任公司 一种基于主机关系的互联网主机扫描方法及系统

Also Published As

Publication number Publication date
CN106506557B (zh) 2019-09-17

Similar Documents

Publication Publication Date Title
CN106506557A (zh) 一种端口扫描检测方法及装置
CN100553204C (zh) 进行网络诊断的签名匹配方法和装置
US8874649B2 (en) Determination of a spammer through social network characterization
CN106372662A (zh) 安全帽佩戴的检测方法和装置、摄像头、服务器
CN107241226A (zh) 基于工控私有协议的模糊测试方法
CN109951491A (zh) 网络攻击检测方法、装置、设备及存储介质
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN106506556A (zh) 一种网络流量异常检测方法及装置
CN106507363B (zh) 一种发现钓鱼接入点的方法
CN106713074B (zh) 基于业务内容的数据网络质量分段探测方法及系统
CN108683682A (zh) 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN107508632A (zh) 一种同路由光缆故障定位方法和装置
CN106656679A (zh) 可用带宽测量方法和装置
CN102104502A (zh) 一种基于Linux系统的以太网网络设备性能测试平台
CN110197234B (zh) 一种基于双通道卷积神经网络的加密流量分类方法
CN108462717A (zh) 基于规则匹配命中率和分布方差的防火墙规则集优化方法
CN107026793A (zh) 路由方法、装置及系统
CN109831462A (zh) 一种病毒检测方法及装置
CN103716187B (zh) 网络拓扑结构确定方法和系统
CN108111367A (zh) 性能测试方法及装置
CN107505331A (zh) 激光头脏污检测系统及方法
CN106454934A (zh) 一种虚警信号检测方法及基站
CN106302001A (zh) 数据通信网络中业务故障检测方法、相关装置及系统
CN106295683A (zh) 一种基于尖锐度的时间序列数据的离群点检测方法
Zhu et al. Performance analysis of cooperative spectrum sensing in cognitive vehicular networks with dense traffic

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant