CN109768949B - 一种端口扫描处理系统、方法及相关装置 - Google Patents
一种端口扫描处理系统、方法及相关装置 Download PDFInfo
- Publication number
- CN109768949B CN109768949B CN201711108486.0A CN201711108486A CN109768949B CN 109768949 B CN109768949 B CN 109768949B CN 201711108486 A CN201711108486 A CN 201711108486A CN 109768949 B CN109768949 B CN 109768949B
- Authority
- CN
- China
- Prior art keywords
- port
- terminal
- target
- identification
- connection information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种端口扫描处理系统,该处理系统中包括了第一识别服务器和多个终端,该多个终端可以上报端口连接信息,第一识别服务器通过一个终端发送的端口连接信息可以了解到这个终端被连接端口的端口标识和连接了这个终端的连接目标的标识,第一识别服务器可以对端口连接信息中所标识的连接目标是否为危险目标进行识别,由于处理系统中不同的终端都会向第一识别服务器发送端口连接信息,故具有相同标识的端口连接信息都会作为识别该标识所对应连接目标是否为危险目标的依据,从而可以准确识别出采用分散式端口扫描行为的危险目标,提高了处理系统中终端的安全性。本申请实施例还公开了一种端口扫描处理的方法、装置、终端以及服务器等。
Description
技术领域
本申请涉及数据处理领域,特别是涉及一种端口扫描处理系统、方法及相关装置。
背景技术
随着互联网技术的发展,越来越多的终端连接到互联网中。虽然互联网为用户带来的便利,但是随之而来的还有远程入侵行为,不法人员可以通过终端远程连接被入侵终端的端口或者说进行端口连接行为,通过连接端口获取的信息伺机盗取、控制被入侵终端。如果能够尽快识别出疑似入侵的端口扫描行为,可以将发起扫描的终端进行屏蔽,尽量避免该终端侵害其他终端。这里提到的端口连接或者说端口连接行为是指终端a连接终端b端口的行为,而端口扫描行为是指当终端b确定终端a可能为具有恶意的终端、且终端a希望通过连接终端b端口来入侵终端b时,终端a对终端b已经做出的连接终端b端口的行为或即将做出连接终端b端口的行为。
传统的识别方式是基于终端自身防火墙对端口连接的检测,当该终端的防火墙发现有一终端对自身端口在一段时间内发起了多次端口连接时,可以认为这一终端做出了疑似入侵的端口扫描行为,并对这一终端进行屏蔽。
发明内容
这种基于自身防火墙的识别方式主要只能识别出在短时间内以频繁进行端口连接的端口扫描行为,若入侵者采用分散式进行端口连接,例如入侵者使用自己的终端每天连接大量的其他终端的端口,但对同一个终端的端口进行连接的次数每天可能就只有一次甚至几天才一次,针对一个终端来说,由于被入侵者连接端口的间隔很长,采用传统方式难以从检测到的端口连接行为中识别出哪些是用于入侵的端口扫描行为,可见,传统方式并不能为终端提供较好的安全保障。
为了解决上述技术问题,本申请提供了一种端口扫描处理系统、方法及相关装置,从而可以准确识别出采用分散式进行端口连接的危险目标,提高了处理系统中终端的安全性。
本申请实施例公开了如下技术方案:
第一方面,本申请实施例提供了一种端口扫描处理系统,所述处理系统包括第一识别服务器和多个终端:
所述终端,用于检测自身端口的端口连接行为,并上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;
所述第一识别服务器,用于接收端口连接信息并对端口连接信息中所标识的连接目标是否为危险目标进行识别;所述第一识别服务器还用于返回包括了连接目标被识别为危险目标的识别结果。
可选的,所述第一识别服务器,还用于在识别出连接目标为危险目标时,将所述识别结果发送至所述多个终端,以便所述多个终端基于该识别结果对所述危险目标的端口连接行为进行处理。
可选的,所述第一识别服务器还用于根据入侵得分对连接目标是否为疑似危险目标进行识别,其中,针对接收到的任一个端口连接信息,所述第一识别服务器还用于根据这个端口连接信息中的标识更新这个端口连接信息中标识所对应连接目标的入侵得分;当一个连接目标的入侵得分满足阈值时,所述第一识别服务器还用于将这个连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
可选的,所述第一识别服务器还用于将危险目标的标识更新到黑名单中;
所述终端还用于屏蔽所获取黑名单中标识所对应的危险目标。
可选的,任一个终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态;
针对所述第一识别服务器接收到的任一个端口连接信息:
所述第一识别服务器还用于当这个端口连接信息中被连接端口为打开状态时,为这个端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
所述第一识别服务器还用于当这个端口连接信息中被连接端口为关闭状态时,为这个端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
所述第一识别服务器还用于当这个端口连接信息中被连接端口为指定端口且为关闭状态时,为这个端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
可选的,所述处理系统还包括分发服务器和第二识别服务器:
所述分发服务器,用于接收所述多个终端上报的端口连接信息,并向所述第一识别服务器发送具有相同标识的端口连接信息,以及向所述第二识别服务器发送具有相同标识的端口连接信息,向第一识别服务器所发送端口连接信息中包括的标识与向第二识别服务器所发送端口连接信息中包括的标识不同。
可选的,针对所述黑名单中任一个标识,所述第一识别服务器还用于若在预定时间内未获取包括这个标识的端口连接信息,将这个标识对应的危险目标识别为连接目标,并从所述黑名单中删除这个标识。
可选的,所述多个终端还用于从所述第一识别服务器获取所述黑名单。
可选的,所述处理系统还包括规则管理设备,所述规则管理设备,用于将所述处理系统中生成的黑名单统一更新为总黑名单。
可选的,所述总黑名单还具有更新标识,所述更新标识用于标识所述总黑名单的内容更新。
可选的,针对所述多个终端中的任一个终端,还用于屏蔽所述总黑名单中标识所对应的危险目标。
可选的,针对所述多个终端中的任一个终端,还用于当自身获取的总黑名单的更新标识与所述规则管理设备中的总黑名单的更新标识不相同时,获取所述规则管理设备中的总黑名单。
第二方面,本申请实施例提供了一种端口扫描处理方法,所述方法应用于包括了识别服务器和多个终端的处理系统,包括:
所述终端检测自身端口的端口连接行为;
所述终端上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;
所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理。
可选的,所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理,包括:
所述终端获取包括了所述识别结果的黑名单;
所述终端屏蔽所获取的黑名单中标识所对应的危险目标。
可选的,所述黑名单是所述终端从所述识别服务器获取的。
可选的,所述终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述上报端口连接信息包括:
所述终端向所述处理系统中的分发服务器上报所述端口连接信息。
可选的,所述黑名单是所述终端从所述处理系统中的规则管理服务器获取的。
可选的,当自身获取的黑名单的更新标识与所述规则管理设备中的黑名单的更新标识不相同时,所述终端获取所述规则管理设备中的黑名单,所述更新标识用于标识所述黑名单的内容更新。
第三方面,本申请实施例提供了一种端口扫描处理方法,所述方法应用于包括了识别服务器和多个终端的处理系统,包括:
所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;
所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果。
可选的,所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果包括:
在识别出连接目标为危险目标时,所述识别服务器将所述识别结果发送至所述处理系统中的终端,以便所述终端获取所述识别结果并基于所述识别结果对所述危险目标的端口连接行为进行处理。
可选的,所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别包括:
所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别。
可选的,所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别包括:
针对所述识别服务器接收到的任一个端口连接信息,所述识别服务器根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分;
当所述连接目标的入侵得分满足阈值时,所述识别服务器将所述连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
可选的,所述方法还包括:
所述识别服务器将所述危险目标的标识更新到黑名单中。
可选的,所述识别服务器接收到的任一个端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,针对所述识别服务器接收到的任一个端口连接信息,所述根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分包括:
当所述端口连接信息中被连接端口为打开状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
当所述端口连接信息中被连接端口为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
当所述端口连接信息中被连接端口为指定端口且为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
可选的,所述识别服务器接收端口连接信息包括:
所述识别服务器接收具有相同标识的端口连接信息。
可选的,所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的。
可选的,针对所述黑名单中任一个标识,所述方法还包括:
若在预定时间内所述识别服务器未获取包括这个标识的端口连接信息,所述识别服务器将这个标识对应的危险目标识别为连接目标,并从所述黑名单中删除这个标识。
第四方面,本申请实施例提供了一种端口扫描处理装置,所述装置应用于包括了识别服务器和多个终端的处理系统,所述装置包括:
检测单元,用于检测自身端口的端口连接行为;
上报单元,用于上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;
获取单元,用于获取包括了连接目标被识别为危险目标的识别结果。
处理单元,用于基于所述识别结果对危险目标的端口连接行为进行处理。
可选的,所述获取单元还用于获取包括了所述识别结果的黑名单;
所述处理单元包括:
屏蔽单元,用于屏蔽所获取的黑名单中标识所对应的危险目标。
可选的,所述黑名单是所述终端从所述识别服务器获取的。
可选的,所述终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述上报端口连接信息包括:
所述终端向所述处理系统中的分发服务器上报所述端口连接信息。
可选的,所述黑名单是所述终端从所述处理系统中的规则管理服务器获取的。
可选的,所述获取单元,还用于当自身获取的黑名单的更新标识与所述规则管理设备中的黑名单的更新标识不相同时,获取所述规则管理设备中的黑名单,所述更新标识用于标识所述黑名单的内容更新。
第五方面,本申请实施例提供了一种端口扫描处理装置,所述装置应用于识别服务器和多个终端的处理系统,所述装置包括:
接收单元,用于接收端口连接信息;
识别单元,用于对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;
返回单元,用于返回包括了所述连接目标被识别为危险目标的识别结果。
可选的,所述返回单元包括:
发送单元,用于在识别出连接目标为危险目标时,所述识别服务器将所述识别结果发送至所述处理系统中的终端,以便所述终端获取所述识别结果并基于所述识别结果对所述危险目标的端口连接行为进行处理。
可选的,所述识别单元用于根据入侵得分对所述连接目标是否为疑似危险目标进行识别。
可选的,所述识别单元包括:
第一更新单元,用于针对所述识别服务器接收到的任一个端口连接信息,所述识别服务器根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分;
识别子单元,用于当所述连接目标的入侵得分满足阈值时,所述识别服务器将所述连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
可选的,所述装置还包括:
第二更新单元,用于将所述危险目标的标识更新到黑名单中。
可选的,所述识别服务器接收到的任一个端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述第一更新单元包括:
第一增加单元,用于当所述端口连接信息中被连接端口为打开状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
第二增加单元,用于当所述端口连接信息中被连接端口为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
第三增加单元,用于当所述端口连接信息中被连接端口为指定端口且为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
可选的,所述接收单元用于接收具有相同标识的端口连接信息。
可选的,所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的。
可选的,所述识别单元,还用于若在预定时间内所述识别服务器未获取包括这个标识的端口连接信息,所述识别服务器将这个标识对应的危险目标识别为连接目标;
所述装置还包括:
删除单元,用于从所述黑名单中删除这个标识。
第六方面,本申请实施例提供了一种用于端口扫描处理的终端,所述终端包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行以下方法:
所述终端检测自身端口的端口连接行为;
所述终端上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;
所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述终端获取包括了所述识别结果的黑名单;
所述终端屏蔽所获取的黑名单中标识所对应的危险目标。
可选的,所述黑名单是所述终端从所述识别服务器获取的。
可选的,所述终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述终端向所述处理系统中的分发服务器上报所述端口连接信息。
可选的,所述黑名单是所述终端从所述处理系统中的规则管理服务器获取的。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
当自身获取的黑名单的更新标识与所述规则管理设备中的黑名单的更新标识不相同时,所述终端获取所述规则管理设备中的黑名单,所述更新标识用于标识所述黑名单的内容更新。
第七方面,本申请实施例提供了一种用于端口扫描处理的服务器,所述服务器包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行以下方法:
所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;
所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
在识别出连接目标为危险目标时,所述识别服务器将所述识别结果发送至所述处理系统中的终端,以便所述终端获取所述识别结果并基于所述识别结果对所述危险目标的端口连接行为进行处理。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
针对所述识别服务器接收到的任一个端口连接信息,所述识别服务器根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分;
当所述连接目标的入侵得分满足阈值时,所述识别服务器将所述连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述识别服务器将所述危险目标的标识更新到黑名单中。
可选的,所述识别服务器接收到的任一个端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
当所述端口连接信息中被连接端口为打开状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
当所述端口连接信息中被连接端口为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
当所述端口连接信息中被连接端口为指定端口且为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述识别服务器接收具有相同标识的端口连接信息。
可选的,所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
若在预定时间内所述识别服务器未获取包括这个标识的端口连接信息,所述识别服务器将这个标识对应的危险目标识别为连接目标,并从所述黑名单中删除这个标识。
由上述技术方案可以看出,端口扫描处理系统中包括了第一识别服务器和多个终端,该多个终端可以上报根据所检测到自身端口的端口连接行为得到的端口连接信息,第一识别服务器通过一个终端发送的端口连接信息可以了解到这个终端被连接端口的端口标识和连接了这个终端的连接目标的标识,第一识别服务器可以对端口连接信息中所标识的连接目标是否为危险目标进行识别;返回包括了连接目标被识别为危险目标的识别结果。由于处理系统中不同的终端都会向该第一识别服务器发送端口连接信息,故由不同终端上报的具有相同标识的端口连接信息都会作为识别该标识所对应连接目标是否为危险目标的依据,从而可以准确识别出采用分散式端口扫描行为的危险目标,提高了处理系统中终端的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种端口扫描处理系统的结构框图;
图2a为本申请实施例提供的一种端口扫描处理系统的结构框图;
图2b为本申请实施例提供的一种端口扫描处理系统的结构框图;
图3为本申请实施例提供的一种具有协同防御功能的端口扫描处理系统的结构框图;
图4为本申请实施例提供的一种端口扫描处理方法的流程示意图;
图5为本申请实施例提供的一种端口扫描处理方法的流程示意图;
图6为本申请实施例提供的一种端口扫描处理装置的结构图;
图7为本申请实施例提供的一种端口扫描处理装置的结构图;
图8为本申请实施例提供的一种用于端口扫描处理的终端的结构图;
图9为本申请实施例提供的一种用于端口扫描处理的服务器的结构图。
具体实施方式
下面结合附图,对本申请的实施例进行描述。
发明人经研究发现传统的识别方式仅能通过终端自身的防火墙识别出在短时间以频繁进行端口连接的端口扫描行为,即某个终端只能根据该终端的端口连接次数门限限制来发现端口扫描行为,以对该端口扫描行为单独进行防御。但是,在一些情况下,入侵者可能并非通过频繁连接某个终端的端口来进行入侵,而是采用分散式的端口连接方式,例如入侵者使用自己的终端每天连接大量的其他终端,但连接同一个终端的端口次数每天可能就只有一次甚至几天才一次,终端自身的识别机制难以识别出用于入侵的端口扫描行为,进而将危险目标误判为正常目标,无法保证终端的安全性。
为此,本申请实施例提供了一种端口扫描处理系统,该处理系统可以包括第一识别服务器和多个终端。当连接目标连接该处理系统中的多个终端的端口时,多个终端可以检测到自身端口的端口连接行为,然后上报根据所检测到的端口连接行为得到的端口连接信息,第一识别服务器可以通过一个终端发送的端口连接信息可以了解到这个终端被连接端口的端口标识和连接了这个终端的连接目标的标识,第一识别服务器可以对端口连接信息中所标识的连接目标是否为危险目标进行识别,并返回包括了连接目标被识别为危险目标的识别结果。由于处理系统中不同的终端都会向该第一识别服务器发送端口连接信息,故由不同终端上报的具有相同标识的端口连接信息都会作为识别该标识所对应连接目标是否为危险目标的依据,从而可以准确识别出采用分散式端口连接方式的危险目标。提高了处理系统中终端的安全性。
本申请实施例中,一个终端所发送的端口连接信息可以包括端口连接行为中涉及到的端口标识和连接目标的标识,利用该端口连接信息可以了解在该端口连接行为中,被扫描的端口的相关信息,以及扫描该端口的是哪个连接目标。通过处理系统中一个终端发送的一个端口连接信息,这个端口连接信息中包括的端口标识可以让第一识别服务器明确这个端口连接信息对应的端口连接行为中,与这个终端被连接端口相关的信息;这个端口连接信息中包括的标识可以让第一识别服务器明确用于标识做出或者说发起该端口连接行为的连接目标的标识。
其中,端口标识可以是用于标识这个终端检测到自身端口的端口连接行为中这个终端被扫描的端口,该端口标识例如可以是该端口的端口号,也可以是该端口的开闭状态,还可以是该端口的端口号和该端口的开闭状态。
连接目标可以是连接该处理系统中某个或某些终端端口的终端或服务器,该连接目标需要通过处理系统确定是危险目标还是正常目标。例如,用户使用连接目标A连接该处理系统中某个终端的端口,以尝试连接上该端口,该终端在检测到连接目标A的端口连接行为后,可以上报根据所检测到的端口连接行为得到的端口连接信息,以便确定该连接目标A是否为危险目标。而一个端口连接行为可以体现处理系统中一个终端检测到自身端口被连接目标进行了一次端口连接的行为。
需要说明的是,连接目标可以是处理系统之外的终端或服务器,在有些情况下,处理系统内部的终端或服务器可能已经被黑客入侵,黑客可以利用该终端或服务器连接该处理系统内部的其他终端,以入侵处理系统内部的其他终端。
连接目标的标识可以是用于标识发起所述端口连接行为的连接目标,该连接目标的标识例如可以是该连接目标的IP地址、MAC地址、名称、代码或者其他可以用于标识该连接目标身份的标识等。
识别服务器可以是处理系统中用于根据端口连接信息识别端口连接信息中所标识的连接目标是否为危险目标的服务器,识别服务器还可以返回包括了连接目标被识别为危险目标的识别结果。当处理系统中只包括一台识别服务器时,该识别服务器可以是第一识别服务器,处理系统中多个终端可以将端口连接信息直接上报给第一识别服务器;当处理系统中包括多台识别服务器时,第一识别服务器可以是多台识别服务器中的一台识别服务器,处理系统中多个终端可以将端口连接信息上报给其他服务器,通过其他服务器转发给处理系统中多台识别服务器。
下面结合附图,详细说明本申请实施例提供的端口扫描处理系统。
参见图1,图1为本申请实施例提供的一种端口扫描处理系统的结构框图,该处理系统包括多个终端101和第一识别服务器102,图1以处理系统包括一台识别服务器为例,该识别服务器即第一识别服务器102。
多个终端101,用于检测自身端口的端口连接行为,并向所述第一识别服务器102上报端口连接信息,在所述处理系统中,任一个终端上报的端口连接信息中包括端口标识和连接目标的标识,所述端口标识用于标识这个终端检测到的端口连接行为中这个终端被扫描的端口,所述连接目标的标识用于标识发起所述端口连接行为的连接目标。
多个终端101中任一个终端可以利用其自身的防火墙或其他检测模块对该终端上的端口进行实时监控,当用户使用连接目标对多个终端101中的任一个终端进行端口连接时,这个终端可以检测到由该端口连接造成的端口连接行为,以将根据检测到的该端口连接行为得到的端口连接信息上报给第一识别服务器102,该端口连接信息中所包括的端口标识可以标识通过该端口连接所连接的这个终端的端口,而该端口连接信息中所包括的标识可以用于标识连接了这个终端的该连接目标。
需要说明的是,连接目标发起端口连接行为以连接处理系统中的任一个终端,其一种可能的结果是该连接目标通过发起端口连接行为连接上了该终端上的端口,另一种可能的结果是该连接目标通过发起端口连接行为尝试去连接该终端上的任一端口,但是由于该端口是关闭的,导致连接目标并没有连接上。由于端口连接信息是根据端口连接行为得到的,因此,连接目标的标识所标识的该连接目标可以是连接上了这个终端的该连接目标,也可以是尝试连接但是没有连接上这个终端的该连接目标。
在本实施例中,在多个终端101中,任一个终端将端口连接信息上报给第一识别服务器102的方式可以有多种,例如,一个终端可以在每检测到一次端口连接行为时,便将根据此次端口连接行为得到的端口连接信息上报给第一识别服务器102。又如,一个终端可以在将每次检测到的端口连接行为进行保存,当检测到的端口连接行为达到一定次数时,再将根据保存的所有端口连接行为得到的所有端口连接信息上报给第一识别服务器102。再如,一个终端可以预先设置上报周期,将该周期内检测到的端口连接行为进行保存,当达到一个周期时,这个终端可以将根据该周期内检测到的所有端口连接行为得到的所有端口连接信息上报给第一识别服务器102。
第一识别服务器102,用于接收端口连接信息并对端口连接信息中所标识的连接目标是否为危险目标进行识别;所述第一识别服务器102还用于返回包括了连接目标被识别为危险目标的识别结果。
在本实施例中,处理系统除了只包括一台识别服务器的情况之外,例如第一识别服务器102,还可以包括多台识别服务器,其中,第一识别服务器102可以作为多台识别服务器中的一台识别服务器,识别服务器的台数可以与处理系统的复杂程度相关。图1示出了处理系统中只包括第一识别服务器102的情况,在图1中,多个终端101会把所有的端口连接信息都上报给该第一识别服务器102,第一识别服务器102可以对所有的端口连接信息中所标识的连接目标是否为危险目标进行识别。
在本实施例中,第一识别服务器102在识别出危险目标后,可以将包括了该连接目标被识别为危险目标的识别结果返回给多个终端101,所述识别结果可以包括危险目标的标识。
由于多个终端101可能会向第一识别服务器102上报很多端口连接信息,第一识别服务器102可以对接收到的所有端口连接信息中所标识的连接目标是否为危险目标进行识别,为了保证第一识别服务器102每识别出一个危险目标,可以使多个终端101知晓该危险目标并对该危险目标进行处理,第一识别服务器102直接将包括危险目标的标识的识别结果返回给多个终端101,即第一识别服务器102,还用于在识别出连接目标为危险目标时,将所述识别结果发送至所述多个终端,以便所述多个终端基于该识别结果对所述危险目标的端口连接行为进行处理。所述处理例如可以包括多个终端101屏蔽所述危险目标。
例如第一识别服务器102可以在识别出连接目标为危险目标时,直接将包括危险目标的标识的识别结果返回给多个终端101,使得多个终端101可以根据所述危险目标的标识屏蔽所述危险目标。
此外,第一识别服务器102还可以将识别结果以黑名单的形式返回给多个终端101,即第一识别服务器102还用于将危险目标的标识更新到黑名单中,使得所述终端屏蔽所获取黑名单中标识所对应的危险目标。
例如,第一识别服务器102将危险目标的标识更新到黑名单中,并将该黑名单返回给多个终端101,多个终端101可以接收到的黑名单屏蔽该黑名单中标识所对应的危险目标。
在一些情况下,为了准确的判断连接目标是否为危险目标,可以对连接目标是否为危险目标的可能性进行计算,连接目标是否为危险目标的可能性可以依据连接目标的入侵得分进行确定。因此,第一识别服务器102还用于根据入侵得分对连接目标是否为疑似危险目标进行识别,其中,针对接收到的任一个端口连接信息,所述第一识别服务器还用于根据这个端口连接信息中的标识更新这个端口连接信息中标识所对应连接目标的入侵得分;当一个连接目标的入侵得分满足阈值时,所述第一识别服务器还用于将这个连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
入侵得分可以是根据端口连接信息确定的、表示该连接目标为危险目标的可能性的数值,入侵得分越低,该连接目标为危险目标的可能性越低,入侵得分越高该连接目标为危险目标的可能性越高。
当一个连接目标的入侵得分满足阈值时,第一识别服务器102可以将这个连接目标识别为做出了用于入侵的端口扫描行为的危险目标,并将该危险目标的标识跟新到黑名单中,使得多个终端101可以屏蔽所获取黑名单中标识所对应的危险目标。
在本实施例中,由于图1示出了处理系统中只包括第一识别服务器102的情况,多个终端101会把所有的端口连接信息都上报给该第一识别服务器102,第一识别服务器102可以对所有的端口连接信息进行统计,根据接收到的所有端口连接信息更新该连接目标的入侵得分。当处理系统中包括多台识别服务器时,该处理系统的结构框图可以如图2所示。图2以包括第一识别服务器2021和第二识别服务器2022两台识别服务器为例,此时,多个终端201可以根据分组上报条件,一部分终端201将端口连接信息上报给第一识别服务器2021,另一部分终端201将端口连接信息上报给第二识别服务器2022,其中,所述分组上报条件可以根据端口扫描处理系统的结构确定,也可以根据连接目标的标识确定。在图2a中,多个终端201中的例如终端2011和终端2012这两个终端可以将端口连接信息上报给第一识别服务器2021,而多个终端201中的例如终端2013和终端2014这两个终端可以将端口连接信息上报给第二识别服务器2022。
在包括多个识别服务器的处理系统中,可能存在这种情况:多个终端将包括相同标识的端口连接信息分散上报给多个识别服务器,使得该多个识别服务器获取的只是部分针对该标识的端口连接信息,那么该多个识别服务器分别计算出的针对该标识的入侵得分并不能完全体现该标识所对应连接目标做出的端口连接行为的危险程度,故依据该多个识别服务器中某一个识别服务器计算出的入侵得分评估该连接目标时,可能造成对该连接目标是否为危险目标的判断不准确,影响处理系统的安全。
因此,可以避免将包括相同标识的端口连接信息分散上报给多个识别服务器,使包括相同标识的所有的端口连接信息都上报给同一个识别服务器进行统计,在本实施例中,分组上报条件可以是端口连接信息中包括的标识是否相同,即处理系统中的多个终端可以向分发服务器上报端口连接信息,以便该分发服务器根据标识,将具有相同标识的端口连接信息发送给同一个识别服务器。如图2b所示,若一个连接目标的标识为a,另一个连接目标的标识为b,终端2011、2012、2013和2014可以将所有端口连接信息上报给分发服务器203,如果分发服务器203根据接收到的端口连接信息确定出终端2011、2012和2014上报的端口连接信息包括标识a,则分发服务器203将终端2011、2012和2014上报的包括标识a的端口连接信息发送给同一个识别服务器,例如第一识别服务器2021。如果分发服务器203根据接收到的端口连接信息还确定出终端2013上报的端口连接信息包括标识b,则分发服务器203还将终端2013上报的包括标识b的端口连接信息发送给同一个识别服务器,例如第二识别服务器2022。
第一识别服务器102在根据接收的端口连接信息更新连接目标的入侵得分时,根据端口连接信息的不同,入侵得分会有不同的增加方式。一般情况下,一个终端上存在很多端口,例如数千量级,但是一个终端可能并不会将所有端口全部开启使用,故对于一个终端来说,一般只有一部分端口的状态是开启的,剩余端口的状态都是关闭的。这个终端为了提供网络服务或为了实现数据交互,可以将所开启端口中的一部分端口对外公开,以便其他终端可以通过连接这些端口使用这个终端所提供的网络服务或与这个终端进行数据交互。也就是说,这部分开启的端口可以供给外部人员连接,所开启端口中还可以有一部分端口不对外公开,例如可以只是为了供内部人员连接,也就是说,这部分端口虽然处于开启状态,但是并不为外部人员所知,而这些端口很多情况下就是入侵者想要获知的端口,以便通过这些端口侵入终端。所以,入侵者在侵入前需要通过端口连接尝试连接处理系统中终端的端口,以希望找到上述处于开启状态但未公开的端口。但是,由于一个终端所开启端口一般较少,还是有很多端口处于关闭状态,因此,这种情况下,当入侵者使用危险目标通过端口扫描行为尝试连接处理系统中一个终端的端口以便入侵该终端时,危险目标的端口扫描行为会有别于正常终端的端口连接行为。
即正常目标可以准确地连接已经对外公开的处于打开状态的端口,而危险目标由于不知道哪个端口处于打开状态,为了找到处于打开状态的端口以便通过该端口入侵该终端,危险目标需要通过随机尝试或者依次连接或者特定端口连接的方式连接该终端的各个端口,在这一过程中,危险目标在连接到所需端口之前,可能有很多次尝试连接到处于关闭状态的端口,这是危险目标端口扫描行为的特点。第一识别服务器102针对危险目标端口扫描行为的这一特点,可以有效地更新危险目标的入侵得分,从而将危险目标与正常目标区分开来。
在本实施例中,为了可以根据危险目标端口扫描行为的特点有效地更新危险目标的入侵得分,端口连接信息中的端口标识可以用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
当该端口标识为这个终端检测到的端口连接行为中这个终端被连接端口的端口号时,例如该终端的每个端口都有各自的端口号,该终端打开并对外公开端口号为58号和80号的两个端口,并且打开但不对外公开端口号为40号的端口,但是对于业内人员来说,这个端口号对应的端口可能是一个很常用的不公开但会开启的端口,故有经验的入侵者可能知晓40号可能处于打开状态的很高,因此,一般情况下正常终端会连接58号和80号的两个端口,而需要入侵该终端的危险目标为了提高入侵效率,可能会优先尝试连接这些处于打开状态较高的端口,例如直接连接没有对外公开的40号端口,这样,若该端口标识为这个终端检测到的端口连接行为中这个终端被连接端口的端口号,那么,该终端检测到的发起连接40号端口的端口连接行为的连接目标可能为危险目标。此时,第一识别服务器102可以选择合适的数值更新该连接目标的入侵得分。
当该端口标识为这个终端检测到的端口连接行为中这个终端被连接端口的端口开闭状态时,第一识别服务器102可以根据连接目标连接的端口是打开状态还是关闭状态,更新这个端口连接信息中标识所对应连接目标的入侵得分。例如,当这个端口连接信息中被连接端口为打开状态时,第一识别服务器102可以为这个端口连接信息中标识所对应连接目标的入侵得分增加第一数值;当这个端口连接信息中被连接端口为关闭状态时,第一识别服务器102可以为这个端口连接信息中标识所对应连接目标的入侵得分增加第二数值。
可以理解的是,根据危险目标端口扫描行为的特点,和连接到处于打开状态的端口的连接目标相比,连接到处于关闭状态的端口的连接目标更有可能是危险目标,为了使危险目标的入侵得分较高,正常目标的入侵得分较低,以通过入侵得分的高低区分危险目标和正常目标,因此,第二数值可以大于第一数值,以更大程度的增加连接到处于关闭状态的端口的连接目标的入侵得分。
其中,第一数值和第二数值可以是分值,例如,第一数值为1,第二数值为2;也可以是该终端的分值系数,例如,第一数值为1.1,,第二数值为1.2。
当这个端口连接信息中被连接端口为指定端口且为关闭状态时,第一识别服务器102可以为这个端口连接信息中标识所对应连接目标的入侵得分增加第三数值。其中,指定端口可以是敏感端口,例如一般情况下不会对其进行连接的端口,也可以是特定端口号的端口,例如40号端口,该端口虽然没有对外公开,但业内人员知晓该端口。
可以理解的是,根据危险目标端口扫描行为的特点,和连接到处于关闭状态的端口的连接目标相比,连接到处于关闭状态的指定端口的连接目标更有可能是危险目标,为了使危险目标的入侵得分较高,正常目标的入侵得分较低,以通过入侵得分的高低区分危险目标和正常目标,因此,第三数值可以大于第二数值,以更大程度的增加连接到处于关闭状态的指定端口的连接目标的入侵得分。
其中,第三数值可以是分值,例如,第一数值为1,第二数值为2,那么,第三数值可以为3;也可以是该终端的分值系数,例如,第一数值为1.1,第二数值为1.2,那么,第三数值可以为1.3。
随着第一识别服务器102更新连接目标的入侵得分,当一个连接目标的入侵得分满足阈值时,第一识别服务器102还用于将这个连接目标识别为做出了用于入侵的端口扫描行为的危险目标,并将所述危险目标的标识更新到黑名单中。
需要说明的是,该阈值可以为根据经验预先设置的一个值,该阈值的设置大小可以与具体应用场景相关,场景安全性要求越高,可以将该阈值设置的越小。例如可以预先设置该阈值为100,那么当入侵得分达到100时,第一识别服务器102确定该连接目标为危险目标,并将该危险目标的标识添加至黑名单中,以便处理系统中的多个终端101对该危险目标进行防御。
为了对危险目标进行防御,避免危险目标入侵处理系统中的多个终端101,威胁多个终端101的安全性,多个终端101可以获取第一识别服务器102中的黑名单,并屏蔽所获取黑名单中标识所对应的危险目标。其中,多个终端101获取第一识别服务器102中的黑名单的方式可以是第一识别服务器102将黑名单主动发送给多个终端101,也可以是多个终端101向第一识别服务器102发送黑名单获取指令,第一识别服务器102响应该黑名单获取指令而将黑名单发送给多个终端101。
由上述技术方案可以看出,端口扫描处理系统中包括了第一识别服务器和多个终端,该多个终端可以上报根据所检测到自身端口的端口连接行为得到的端口连接信息,第一识别服务器通过一个终端发送的端口连接信息可以了解到这个终端被连接端口的端口标识和连接了这个终端的连接目标的标识,第一识别服务器可以对端口连接信息中所标识的连接目标是否为危险目标进行识别;返回包括了连接目标被识别为危险目标的识别结果。由于处理系统中不同的终端都会向该第一识别服务器发送端口连接信息,故由不同终端上报的具有相同标识的端口连接信息都会作为识别该标识所对应连接目标是否为危险目标的依据,从而可以准确识别出采用分散式端口扫描行为的危险目标,提高了处理系统中终端的安全性。
进一步地,在一些情况下,例如某个连接目标可能由于被入侵者偶然使用而成为危险目标,导致黑名单中包括了该连接目标的标识,从而使得当合法用户正常使用该连接目标时,处理系统中的多个终端将该连接目标屏蔽,而无法与该多个终端进行通信。因此,为了保证第一识别服务器中的黑名单的准确性,使黑名单中既不遗漏危险目标的标识,又不会包括正常目标的标识,第一识别服务器不仅可以将危险目标的标识更新到黑名单中,还可以针对黑名单中任一个标识,判断在预定时间内是否获取包括这个标识的端口连接信息,若在预定时间内未获取包括这个标识的端口连接信息,第一识别服务器可以将这个标识对应的终端识别为连接目标,并从所述黑名单中删除这个标识。
当处理系统中包括多台识别服务器时,该处理系统中每台识别服务器都可以生成一份黑名单,针对其中一台识别服务器例如第一识别服务器中的黑名单,该处理系统中的多个终端根据该黑名单可以屏蔽与该黑名单中包括的标识对应的危险目标,足以保护系统安全,但是由于其他识别服务器中的黑名单中可能包括该黑名单中没有包括的标识,为了使处理系统中的多个终端可以获得包括更加全面的标识的黑名单,以便可以全面的对所有识别服务器中的黑名单中包括的标识的危险目标进行屏蔽,进一步保证系统安全,本实施例可以提供一种具有协同防御功能的端口扫描处理系统。
参见图3,示出了一种具有协同防御功能的端口扫描处理系统的结构框图,所述处理系统中包括多个终端301、多台识别服务器302和规则管理设备303。图3以处理系统中多台第一识别服务器302包括第一识别服务器3021和第二识别服务器3022两台识别服务器为例。
所述规则管理设备303,可以用于将所述处理系统中生成的黑名单统一更新为总黑名单。规则管理设备303可以是图3中所示的单独的一台服务器,也可以是处理系统中多台识别服务器302中的任意一台识别服务器,也可以是分发服务器。
在图3中,第一识别服务器3021和第一识别服务器3022可以根据多个终端301上报的端口连接信息生成各自的黑名单,然后第一识别服务器3021和第一识别服务器3022可以将各自的黑名单发送给规则管理设备303,规则管理设备303可以将接收到的两份黑名单更新为总黑名单,这样,处理系统中的多个终端301中任一终端可以从规则管理设备303中获取总黑名单,从而屏蔽所述总黑名单中标识所对应的危险目标,实现协同防御功能。
需要说明的是,所述总黑名单还具有更新标识,该更新标识可以用于标识所述总黑名单的内容更新。该更新标识例如可以是总黑名单的版本号,例如,使用V1.110表示更新前的总黑名单,V1.111表示在V1.110这一版本的总黑名单的基础上更新后的总黑名单,V1.112表示在V1.111这一版本的总黑名单的基础上更新后的总黑名单等。该更新标识例如还可以是总黑名单的消息摘要算法第五版(Message Digest Algorithm,简称MD5),MD5的特点是:当总黑名单中的内容发生变化时,变化前后的MD5的值会不同。
由于规则管理设备中的总黑名单可以根据处理系统中的黑名单进行不断的更新,以得到更加准确的黑名单,但是总黑名单的更新可能使得多个终端中的任一个终端获取的总黑名单与规则管理设备中更新后的总黑名单的内容不同,进而使得任一个终端获取的总黑名单与规则管理设备中更新后的总黑名单的更新标识不同。在这种情况下,多个终端中的任一个终端还可以在自身获取的总黑名单的更新标识与所述规则管理设备中的总黑名单的更新标识不相同时,获取所述规则管理设备中的总黑名单,以便可以及时获得规则管理设备中更新后的总黑名单,可以更加有效地保证处理系统的安全性。
作为一种示例,该更新标识可以是MD5,则多个终端中的任一个终端判断自身获取的总黑名单的更新标识与所述规则管理设备中的总黑名单的更新标识是否相同的过程可以是:规则管理设备向该终端发送总黑名单的MD5校验请求;该终端接收到该校验请求后,该终端获取自身的总黑名单的MD5,并发送给规则管理设备;规则管理设备对比规则管理设备中的总黑名单的MD5与接收到的来自该终端的总黑名单的MD5,如果规则管理设备中的总黑名单的MD5与接收到的来自该终端的总黑名单的MD5不同,则将规则管理设备中的总黑名单发送给该终端。
基于前述提供的一种端口扫描处理系统,本申请实施例提供了一种端口扫描处理方法,所述方法应用于包括了识别服务器和多个终端的处理系统,图4示出了一种端口扫描处理方法的流程示意图,包括:
S401、所述终端检测自身端口的端口连接行为。
S402、所述终端上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标。
S403、所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理。
可选的,所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理,包括:
所述终端获取包括了所述识别结果的黑名单;
所述终端屏蔽所获取的黑名单中标识所对应的危险目标。
可选的,所述黑名单是所述终端从所述识别服务器获取的。
可选的,所述终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述上报端口连接信息包括:
所述终端向所述处理系统中的分发服务器上报所述端口连接信息。
可选的,所述黑名单是所述终端从所述处理系统中的规则管理服务器获取的。
可选的,当自身获取的黑名单的更新标识与所述规则管理设备中的黑名单的更新标识不相同时,所述终端获取所述规则管理设备中的黑名单,所述更新标识用于标识所述黑名单的内容更新。
基于前述提供的一种端口扫描处理系统,本申请实施例提供了一种端口扫描处理方法,所述方法应用于包括了识别服务器和多个终端的处理系统,图5示出了一种端口扫描处理方法的流程示意图,包括:
S501、所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的。
S502、所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果。
可选的,所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果包括:
在识别出连接目标为危险目标时,所述识别服务器将所述识别结果发送至所述处理系统中的终端,以便所述终端获取所述识别结果并基于所述识别结果对所述危险目标的端口连接行为进行处理。
可选的,所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别包括:
所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别。
可选的,所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别包括:
针对所述识别服务器接收到的任一个端口连接信息,所述识别服务器根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分;
当所述连接目标的入侵得分满足阈值时,所述识别服务器将所述连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
可选的,所述方法还包括:
所述识别服务器将所述危险目标的标识更新到黑名单中。
可选的,所述识别服务器接收到的任一个端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,针对所述识别服务器接收到的任一个端口连接信息,所述根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分包括:
当所述端口连接信息中被连接端口为打开状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
当所述端口连接信息中被连接端口为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
当所述端口连接信息中被连接端口为指定端口且为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
可选的,所述识别服务器接收端口连接信息包括:
所述识别服务器接收具有相同标识的端口连接信息。
可选的,所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的。
可选的,针对所述黑名单中任一个标识,所述方法还包括:
若在预定时间内所述识别服务器未获取包括这个标识的端口连接信息,所述识别服务器将这个标识对应的危险目标识别为连接目标,并从所述黑名单中删除这个标识。
基于前述提供的一种端口扫描处理系统和方法,本申请实施例提供了一种端口扫描处理装置,所述装置应用于包括了识别服务器和多个终端的处理系统,图6示出了一种端口扫描处理装置的结构图,所述装置包括:检测单元601、上报单元602、获取单元603和处理单元604;
所述检测单元601,用于检测自身端口的端口连接行为;
所述上报单元602,用于上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;
所述获取单元603,用于获取包括了连接目标被识别为危险目标的识别结果。
所述处理单元604,用于基于所述识别结果对危险目标的端口连接行为进行处理。
可选的,所述获取单元603还用于获取包括了所述识别结果的黑名单;
所述处理单元604包括:
屏蔽单元,用于屏蔽所获取的黑名单中标识所对应的危险目标。
可选的,所述黑名单是所述终端从所述识别服务器获取的。
可选的,所述终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述上报端口连接信息包括:
所述终端向所述处理系统中的分发服务器上报所述端口连接信息。
可选的,所述黑名单是所述终端从所述处理系统中的规则管理服务器获取的。
可选的,所述获取单元603,还用于当自身获取的黑名单的更新标识与所述规则管理设备中的黑名单的更新标识不相同时,获取所述规则管理设备中的黑名单,所述更新标识用于标识所述黑名单的内容更新。
基于前述提供的一种端口扫描处理系统和方法,本申请实施例提供了一种端口扫描处理装置,所述装置应用于包括了识别服务器和多个终端的处理系统,图7示出了一种端口扫描处理装置的结构图,所述装置包括:接收单元701、识别单元702和返回单元703;
所述接收单元701,用于接收端口连接信息;
所述识别单元702,用于对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;
所述返回单元703,用于返回包括了所述连接目标被识别为危险目标的识别结果。
可选的,所述返回单元703包括:
发送单元,用于在识别出连接目标为危险目标时,所述识别服务器将所述识别结果发送至所述处理系统中的终端,以便所述终端获取所述识别结果并基于所述识别结果对所述危险目标的端口连接行为进行处理。
可选的,所述识别单元702用于根据入侵得分对所述连接目标是否为疑似危险目标进行识别。
可选的,所述识别单元702包括:
第一更新单元,用于针对所述识别服务器接收到的任一个端口连接信息,所述识别服务器根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分;
识别子单元,用于当所述连接目标的入侵得分满足阈值时,所述识别服务器将所述连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
可选的,所述装置还包括:
第二更新单元,用于将所述危险目标的标识更新到黑名单中。
可选的,所述识别服务器接收到的任一个端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述第一更新单元包括:
第一增加单元,用于当所述端口连接信息中被连接端口为打开状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
第二增加单元,用于当所述端口连接信息中被连接端口为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
第三增加单元,用于当所述端口连接信息中被连接端口为指定端口且为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
可选的,所述接收单元701用于接收具有相同标识的端口连接信息。
可选的,所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的。
可选的,所述识别单元702,还用于若在预定时间内所述识别服务器未获取包括这个标识的端口连接信息,所述识别服务器将这个标识对应的危险目标识别为连接目标;
所述装置还包括:
删除单元,用于从所述黑名单中删除这个标识。
基于前述提供的一种端口扫描处理系统、方法和装置,本申请实施例提供了一种用于端口扫描处理的终端,图8为本申请实施例提供的一种用于端口扫描处理的终端的结构图,所述终端800包括处理器802和存储器801,其中:
所述存储器801,用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器802,用于根据所述程序代码中的指令执行以下方法:
所述终端检测自身端口的端口连接行为;
所述终端上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;
所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述终端获取包括了所述识别结果的黑名单;
所述终端屏蔽所获取的黑名单中标识所对应的危险目标。
可选的,所述黑名单是所述终端从所述识别服务器获取的。
可选的,所述终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述终端向所述处理系统中的分发服务器上报所述端口连接信息。
可选的,所述黑名单是所述终端从所述处理系统中的规则管理服务器获取的。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
当自身获取的黑名单的更新标识与所述规则管理设备中的黑名单的更新标识不相同时,所述终端获取所述规则管理设备中的黑名单,所述更新标识用于标识所述黑名单的内容更新。
基于前述提供的一种端口扫描处理系统、方法和装置,本申请实施例提供了一种用于端口扫描处理的服务器,图9为本申请实施例提供的一种用于端口扫描处理的服务器的结构图,所述服务器900包括处理器902和存储器901,其中:
所述存储器901,用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器902,用于根据所述程序代码中的指令执行以下方法:
所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;
所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
在识别出连接目标为危险目标时,所述识别服务器将所述识别结果发送至所述处理系统中的终端,以便所述终端获取所述识别结果并基于所述识别结果对所述危险目标的端口连接行为进行处理。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
针对所述识别服务器接收到的任一个端口连接信息,所述识别服务器根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分;
当所述连接目标的入侵得分满足阈值时,所述识别服务器将所述连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述识别服务器将所述危险目标的标识更新到黑名单中。
可选的,所述识别服务器接收到的任一个端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
当所述端口连接信息中被连接端口为打开状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
当所述端口连接信息中被连接端口为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
当所述端口连接信息中被连接端口为指定端口且为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
所述识别服务器接收具有相同标识的端口连接信息。
可选的,所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的。
可选的,所述处理器还用于根据所述程序代码中的指令执行以下方法:
若在预定时间内所述识别服务器未获取包括这个标识的端口连接信息,所述识别服务器将这个标识对应的危险目标识别为连接目标,并从所述黑名单中删除这个标识。
由上述技术方案可以看出,端口扫描处理系统中包括了第一识别服务器和多个终端,该多个终端可以上报根据所检测到自身端口的端口连接行为得到的端口连接信息,第一识别服务器通过一个终端发送的端口连接信息可以了解到这个终端被连接端口的端口标识和连接了这个终端的连接目标的标识,第一识别服务器可以对端口连接信息中所标识的连接目标是否为危险目标进行识别;返回包括了连接目标被识别为危险目标的识别结果。由于处理系统中不同的终端都会向该第一识别服务器发送端口连接信息,故由不同终端上报的具有相同标识的端口连接信息都会作为识别该标识所对应连接目标是否为危险目标的依据,从而可以准确识别出采用分散式端口扫描行为的危险目标,提高了处理系统中终端的安全性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:read-only memory,缩写:ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (29)
1.一种端口扫描处理系统,其特征在于,所述处理系统包括第一识别服务器和多个终端:
所述终端,用于检测自身端口的端口连接行为,并上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;
所述第一识别服务器,用于接收端口连接信息并对端口连接信息中所标识的连接目标是否为危险目标进行识别;所述第一识别服务器还用于返回包括了连接目标被识别为危险目标的识别结果;
所述处理系统还包括分发服务器和第二识别服务器:
所述分发服务器,用于接收所述多个终端上报的端口连接信息,并向所述第一识别服务器发送具有相同标识的端口连接信息,以及向所述第二识别服务器发送具有相同标识的端口连接信息,向第一识别服务器所发送端口连接信息中包括的标识与向第二识别服务器所发送端口连接信息中包括的标识不同。
2.根据权利要求1所述的处理系统,其特征在于,所述第一识别服务器,还用于在识别出连接目标为危险目标时,将所述识别结果发送至所述多个终端,以便所述多个终端基于该识别结果对所述危险目标的端口连接行为进行处理。
3.根据权利要求1所述的处理系统,其特征在于,所述第一识别服务器还用于根据入侵得分对连接目标是否为疑似危险目标进行识别,其中,针对接收到的任一个端口连接信息,所述第一识别服务器还用于根据这个端口连接信息中的标识更新这个端口连接信息中标识所对应连接目标的入侵得分;当一个连接目标的入侵得分满足阈值时,所述第一识别服务器还用于将这个连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
4.根据权利要求1或3所述的处理系统,其特征在于,所述第一识别服务器还用于将危险目标的标识更新到黑名单中;
所述终端还用于屏蔽所获取黑名单中标识所对应的危险目标。
5.根据权利要求3所述的处理系统,其特征在于,任一个终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态;
针对所述第一识别服务器接收到的任一个端口连接信息:
所述第一识别服务器还用于当这个端口连接信息中被连接端口为打开状态时,为这个端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
所述第一识别服务器还用于当这个端口连接信息中被连接端口为关闭状态时,为这个端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
所述第一识别服务器还用于当这个端口连接信息中被连接端口为指定端口且为关闭状态时,为这个端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
6.根据权利要求4所述的处理系统,其特征在于,针对所述黑名单中任一个标识,所述第一识别服务器还用于若在预定时间内未获取包括这个标识的端口连接信息,将这个标识对应的危险目标识别为连接目标,并从所述黑名单中删除这个标识。
7.根据权利要求6所述的处理系统,其特征在于,所述多个终端还用于从所述第一识别服务器获取所述黑名单。
8.根据权利要求1所述的处理系统,其特征在于,所述处理系统还包括规则管理设备,所述规则管理设备,用于将所述处理系统中生成的黑名单统一更新为总黑名单。
9.根据权利要求8所述的处理系统,其特征在于,所述总黑名单还具有更新标识,所述更新标识用于标识所述总黑名单的内容更新。
10.根据权利要求8所述的处理系统,其特征在于,针对所述多个终端中的任一个终端,还用于屏蔽所述总黑名单中标识所对应的危险目标。
11.根据权利要求9所述的处理系统,其特征在于,针对所述多个终端中的任一个终端,还用于当自身获取的总黑名单的更新标识与所述规则管理设备中的总黑名单的更新标识不相同时,获取所述规则管理设备中的总黑名单。
12.一种端口扫描处理方法,其特征在于,所述方法应用于包括了识别服务器和多个终端的处理系统,包括:
所述终端检测自身端口的端口连接行为;
所述终端上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;所述上报端口连接信息包括:
所述终端向所述处理系统中的分发服务器上报所述端口连接信息;
所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理。
13.根据权利要求12所述的方法,其特征在于,所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理,包括:
所述终端获取包括了所述识别结果的黑名单;
所述终端屏蔽所获取的黑名单中标识所对应的危险目标。
14.根据权利要求13所述的方法,其特征在于,所述黑名单是所述终端从所述识别服务器获取的。
15.根据权利要求12所述的方法,其特征在于,所述终端上报的端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
16.根据权利要求13所述的方法,其特征在于,所述黑名单是所述终端从所述处理系统中的规则管理服务器获取的。
17.根据权利要求16所述的方法,其特征在于,当自身获取的黑名单的更新标识与所述规则管理设备中的黑名单的更新标识不相同时,所述终端获取所述规则管理设备中的黑名单,所述更新标识用于标识所述黑名单的内容更新。
18.一种端口扫描处理方法,其特征在于,所述方法应用于包括了识别服务器和多个终端的处理系统,包括:
所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;所述识别服务器接收端口连接信息包括:所述识别服务器接收具有相同标识的端口连接信息;所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的;
所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果。
19.根据权利要求18所述的方法,其特征在于,所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果包括:
在识别出连接目标为危险目标时,所述识别服务器将所述识别结果发送至所述处理系统中的终端,以便所述终端获取所述识别结果并基于所述识别结果对所述危险目标的端口连接行为进行处理。
20.根据权利要求18所述的方法,其特征在于,所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别包括:
所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别。
21.根据权利要求20所述的方法,其特征在于,所述识别服务器根据入侵得分对所述连接目标是否为疑似危险目标进行识别包括:
针对所述识别服务器接收到的任一个端口连接信息,所述识别服务器根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分;
当所述连接目标的入侵得分满足阈值时,所述识别服务器将所述连接目标识别为做出了用于入侵的端口扫描行为的危险目标。
22.根据权利要求18或21所述的方法,其特征在于,所述方法还包括:
所述识别服务器将所述危险目标的标识更新到黑名单中。
23.根据权利要求21所述的方法,其特征在于,所述识别服务器接收到的任一个端口连接信息中的端口标识还用于标识这个终端检测到的端口连接行为中这个终端被连接端口的端口号和/或端口开闭状态。
24.根据权利要求23所述的方法,其特征在于,针对所述识别服务器接收到的任一个端口连接信息,所述根据所述端口连接信息中的标识更新所述端口连接信息中标识所对应连接目标的入侵得分包括:
当所述端口连接信息中被连接端口为打开状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第一数值;
当所述端口连接信息中被连接端口为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第二数值;
当所述端口连接信息中被连接端口为指定端口且为关闭状态时,所述识别服务器为所述端口连接信息中终端标识所对应待定终端的入侵得分增加第三数值。
25.根据权利要求22所述的方法,其特征在于,针对所述黑名单中任一个标识,所述方法还包括:
若在预定时间内所述识别服务器未获取包括这个标识的端口连接信息,所述识别服务器将这个标识对应的危险目标识别为连接目标,并从所述黑名单中删除这个标识。
26.一种端口扫描处理装置,其特征在于,所述装置应用于包括了识别服务器和多个终端的处理系统,所述装置包括:
检测单元,用于检测自身端口的端口连接行为;
上报单元,用于上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;所述上报端口连接信息包括:所述终端向所述处理系统中的分发服务器上报所述端口连接信息;
获取单元,用于获取包括了连接目标被识别为危险目标的识别结果。
处理单元,用于基于所述识别结果对危险目标的端口连接行为进行处理。
27.一种端口扫描处理装置,其特征在于,所述装置应用于包括了识别服务器和多个终端的处理系统,所述装置包括:
接收单元,用于接收端口连接信息;包括:接收具有相同标识的端口连接信息;所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的;
识别单元,用于对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;
返回单元,用于返回包括了所述连接目标被识别为危险目标的识别结果。
28.一种用于端口扫描处理的终端,其特征在于,所述终端包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行以下方法:
所述终端检测自身端口的端口连接行为;
所述终端上报端口连接信息,所述端口连接信息中包括端口标识和连接目标的标识,所述连接目标为发起所述端口连接行为的目标;所述上报端口连接信息包括:所述终端向所述处理系统中的分发服务器上报所述端口连接信息;
所述终端获取包括了连接目标被识别为危险目标的识别结果,并基于所述识别结果对危险目标的端口连接行为进行处理
29.一种用于端口扫描处理的服务器,其特征在于,所述服务器包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行以下方法:
所述识别服务器接收端口连接信息并对所述端口连接信息中所标识的连接目标是否为危险目标进行识别,所述端口连接信息为所述处理系统中的终端上报的;所述识别服务器接收端口连接信息包括:所述识别服务器接收具有相同标识的端口连接信息;所述具有相同标识的端口连接信息是所述终端向所述处理系统中的分发服务器上报的;
所述识别服务器返回包括了所述连接目标被识别为危险目标的识别结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711108486.0A CN109768949B (zh) | 2017-11-09 | 2017-11-09 | 一种端口扫描处理系统、方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711108486.0A CN109768949B (zh) | 2017-11-09 | 2017-11-09 | 一种端口扫描处理系统、方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109768949A CN109768949A (zh) | 2019-05-17 |
| CN109768949B true CN109768949B (zh) | 2021-09-03 |
Family
ID=66449653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711108486.0A Active CN109768949B (zh) | 2017-11-09 | 2017-11-09 | 一种端口扫描处理系统、方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109768949B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110750785B (zh) * | 2019-10-24 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
| CN111314300B (zh) * | 2020-01-17 | 2022-03-22 | 广州华多网络科技有限公司 | 恶意扫描ip检测方法、系统、装置、设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN102170431A (zh) * | 2011-03-25 | 2011-08-31 | 中国电子科技集团公司第三十研究所 | 一种主机风险评估方法和装置 |
| CN102811162A (zh) * | 2011-06-03 | 2012-12-05 | 弗卢克公司 | 用于有效率的网络流数据分析的方法和装置 |
| CN104580107A (zh) * | 2013-10-24 | 2015-04-29 | 华为技术有限公司 | 恶意攻击检测方法及控制器 |
| CN104753862A (zh) * | 2013-12-27 | 2015-07-01 | 华为技术有限公司 | 一种提高网络安全性的方法及装置 |
| CN105007175A (zh) * | 2015-06-03 | 2015-10-28 | 北京云杉世纪网络科技有限公司 | 一种基于openflow的流深度关联分析方法及系统 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
-
2017
- 2017-11-09 CN CN201711108486.0A patent/CN109768949B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN102170431A (zh) * | 2011-03-25 | 2011-08-31 | 中国电子科技集团公司第三十研究所 | 一种主机风险评估方法和装置 |
| CN102811162A (zh) * | 2011-06-03 | 2012-12-05 | 弗卢克公司 | 用于有效率的网络流数据分析的方法和装置 |
| CN104580107A (zh) * | 2013-10-24 | 2015-04-29 | 华为技术有限公司 | 恶意攻击检测方法及控制器 |
| CN104753862A (zh) * | 2013-12-27 | 2015-07-01 | 华为技术有限公司 | 一种提高网络安全性的方法及装置 |
| CN105007175A (zh) * | 2015-06-03 | 2015-10-28 | 北京云杉世纪网络科技有限公司 | 一种基于openflow的流深度关联分析方法及系统 |
| CN106657019A (zh) * | 2016-11-24 | 2017-05-10 | 华为技术有限公司 | 网络安全防护方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109768949A (zh) | 2019-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CN109302426B (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN109660539B (zh) | 失陷设备识别方法、装置、电子设备及存储介质 | |
| CN107454037B (zh) | 网络攻击的识别方法和系统 | |
| KR102210627B1 (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
| EP3264312A1 (en) | Model-based computer attack analytics orchestration | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN111245787A (zh) | 一种失陷设备识别与设备失陷度评估的方法、装置 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN108280346B (zh) | 一种应用防护监控方法、装置以及系统 | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| CN113364799B (zh) | 一种网络威胁行为的处理方法和系统 | |
| CN112184091A (zh) | 工控系统安全威胁评估方法、装置和系统 | |
| CN114157450B (zh) | 基于物联网蜜罐的网络攻击诱导方法及装置 | |
| CN111901326B (zh) | 多设备入侵的检测方法、装置、系统以及存储介质 | |
| CN109768949B (zh) | 一种端口扫描处理系统、方法及相关装置 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| CN115022152A (zh) | 一种用于判定事件威胁度的方法、装置及电子设备 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| KR20170015178A (ko) | 소스 코드를 분석하여 보안 취약점과 웹쉘을 탐지하는 웹 서버 보안 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |