CN113872931B - 一种端口扫描行为的检测方法及系统、服务器、代理节点 - Google Patents
一种端口扫描行为的检测方法及系统、服务器、代理节点 Download PDFInfo
- Publication number
- CN113872931B CN113872931B CN202110954157.8A CN202110954157A CN113872931B CN 113872931 B CN113872931 B CN 113872931B CN 202110954157 A CN202110954157 A CN 202110954157A CN 113872931 B CN113872931 B CN 113872931B
- Authority
- CN
- China
- Prior art keywords
- address
- detected
- suspicious information
- server
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种端口扫描行为的检测方法及系统、服务器、代理节点,有利于提高端口扫描检测的准确率。本申请方法包括:服务器合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,IP地址检测总表包括多个可疑信息;服务器根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组;服务器分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;针对任意一个可疑信息组,服务器根据可疑信息组对应的平均系数判断可疑信息组是否为告警分组;若是,则服务器确定告警分组对应的待检测IP地址存在端口扫描行为。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种端口扫描行为的检测方法及系统、服务器、代理节点。
背景技术
端口扫描是指攻击者向目标计算机的每个端口发送一组端口扫描信息,通过每个端口返回的回应类型了解目标计算机网络服务类型,由此探寻目标计算机的弱点。
随着计算机技术和网络技术的快速发展,存储在计算机网络系统中的重要数据越来越多,为了保护计算机的安全,通常会对计算机的每个端口进行监听,以判断计算机是否受到端口扫描攻击。
目前,主要通过代理服务器对目标计算机的每个端口进行监听,再单独分析每一端口对应的监听数据,确定计算机的每一端口是否存在对该端口进行端口扫描行为的互联网协议(Internet Protocol,IP)地址,但是,代理服务器对计算机全部端口进行监听,占用较多系统资源,系统资源利用率低下,并且,仅通过一个端口的监听数据分析该端口是否存在对该端口进行端口扫描行为的IP地址,容易产生误判,端口扫描检测准确率低下。
发明内容
本申请提供了一种端口扫描行为的检测方法及系统、服务器、代理节点,有利于提高端口扫描检测的准确率。
本申请第一方面提供了一种端口扫描行为的检测方法,包括:
服务器合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,所述IP地址检测总表包括多个可疑信息,每一所述可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,所述请求端口数为所述待检测IP地址访问所述代理节点IP地址的开放端口的数量,所述总开放端口数为所述代理节点IP地址开放端口的总数,所述占比系数为所述请求端口数与所述总开放端口数的比值;
所述服务器根据所述待检测IP地址和所述代理节点IP地址对所述可疑信息进行分组,得到多个可疑信息组,其中,所述待检测IP地址相同且所述代理节点IP地址业务属性相同的可疑信息为同一组,或所述待检测IP地址相同且所述代理节点IP地址处于同一网段范围内的可疑信息为同一组;
所述服务器分别计算每一所述可疑信息组的占比系数的均值,得到多个平均系数;
针对任意一个所述可疑信息组,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组;
若是,则所述服务器确定所述告警分组对应的待检测IP地址存在端口扫描行为。
可选的,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组包括:
所述服务器判断所述可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则所述服务器判断所述可疑信息组对应的待检测IP地址是否与风险IP地址相匹配;
若匹配,则所述服务器确定所述可疑信息组为告警分组。
可选的,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组包括:
所述服务器判断所述可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则所述服务器获取所述可疑信息组的待检测IP地址对应的IP风险画像结果;
所述服务器提取所述IP风险画像结果的风险分值;
所述服务器判断所述风险分值是否大于或等于预设的风险分值阈值;
若是,则所述服务器确定所述可疑信息组为告警分组。
可选的,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组包括:
所述服务器判断所述可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则所述服务器提取所述可疑信息组的待检测IP地址对应的历史访问数据,所述历史访问数据中包括异常访问次数;
所述服务器判断所述异常访问次数是否大于或等于预设的异常访问次数阈值;
若是,则所述服务器确定所述可疑信息组为告警分组。
本申请第二方面提供了一种端口扫描行为的检测方法,包括:
代理节点每隔预设周期对本机的开放端口进行监听,得到IP地址访问表,所述IP地址访问表包括至少一个监听信息,所述监听信息包括待检测IP地址、代理节点IP地址、请求端口数和总开放端口数,所述待检测IP地址为监听到的IP地址,所述代理节点IP地址为本机的IP地址,所述请求端口数为所述待检测IP地址访问本机开放端口的数量,所述总开放端口数为本机开放端口的总数;
所述代理节点根据所述监听信息生成待检测信息,所述待检测信息包括所述待检测IP地址、所述代理节点IP地址、所述请求端口数、所述总开放端口数和占比系数,所述占比系数为所述请求端口数和所述总开放端口数的比值;
所述代理节点判断所述待检测信息中是否存在可疑信息,所述可疑信息为所述占比系数大于或等于预设的占比系数阈值的待检测信息;
若是,则所述代理节点根据所述可疑信息生成IP地址检测表;
所述代理节点向服务器发送所述IP地址检测表,以使得所述服务器根据所述IP地址检测表判断是否存在进行端口扫描行为的待检测IP地址。
本申请第三方面提供了一种服务器,包括:
合并单元,用于合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,所述IP地址检测总表包括多个可疑信息,每一所述可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,所述请求端口数为所述待检测IP地址访问所述代理节点IP地址的开放端口的数量,所述总开放端口数为所述代理节点IP地址开放端口的总数,所述占比系数为所述请求端口数与所述总开放端口数的比值;
分组单元,用于根据所述待检测IP地址和所述代理节点IP地址对所述可疑信息进行分组,得到多个可疑信息组,其中,所述待检测IP地址相同且所述代理节点IP地址业务属性相同的可疑信息为同一组,或所述待检测IP地址相同且所述代理节点IP地址处于同一网段范围内的可疑信息为同一组;
计算单元,用于分别计算每一所述可疑信息组的占比系数的均值,得到多个平均系数;
判断单元,用于针对任意一个所述可疑信息组,根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组;
确定单元,用于当所述判断单元确定所述可疑信息组为所述告警分组时,确定所述告警分组对应的待检测IP地址存在端口扫描行为。
本申请第四方面提供了一种代理节点,包括:
监听单元,用于每隔预设周期对本机的开放端口进行监听,得到IP地址访问表,所述IP地址访问表包括至少一个监听信息,所述监听信息包括待检测IP地址、代理节点IP地址、请求端口数和总开放端口数,所述待检测IP地址为监听到的IP地址,所述代理节点IP地址为本机的IP地址,所述请求端口数为所述待检测IP地址访问本机开放端口的数量,所述总开放端口数为本机开放端口的总数;
第一生成单元,用于根据所述监听信息生成待检测信息,所述待检测信息包括所述待检测IP地址、所述代理节点IP地址、所述请求端口数、所述总开放端口数和占比系数,所述占比系数为所述请求端口数和所述总开放端口数的比值;
判断单元,用于判断所述待检测信息中是否存在可疑信息,所述可疑信息为所述占比系数大于或等于预设的占比系数阈值的待检测信息;
第二生成单元,用于当所述判断单元确定所述待检测信息中存在所述可疑信息时,根据所述可疑信息生成IP地址检测表;
发送单元,用于向服务器发送所述IP地址检测表,以使得所述服务器根据所述IP地址检测表判断是否存在进行端口扫描行为的待检测IP地址。
本申请第五方面提供了一种服务器,包括:
处理器、存储器、输入输出单元以及总线;
所述处理器与所述存储器、所述输入输出单元以及所述总线相连;
所述存储器保存有程序,所述处理器调用所述程序以执行如第一方面及第一方面任意一种可能的实施方式中的方法。
本申请第六方面提供了一种代理节点,包括:
处理器、存储器、输入输出单元以及总线;
所述处理器与所述存储器、所述输入输出单元以及所述总线相连;
所述存储器保存有程序,所述处理器调用所述程序以执行如第二方面及第二方面任意一种可能的实施方式中的方法。
本申请第七方面提供了一种端口扫描行为的检测系统,包括如第三方面的服务器和至少两个如第四方面的代理节点。
本申请第八方面提供了一种计算机可读存储介质,所述计算机可读存储介质上保存有程序,所述程序在计算机上执行时使得所述计算机执行第一方面及第一方面任意一种可能的实施方式、第二方面及第二方面任意一种可能的实施方式中的方法。
从以上技术方案可以看出,本申请具有以下优点:
本申请中,服务器首先合并至少两个代理节点发送的至少两个IP地址检测表,得到IP地址检测总表,然后根据待检测IP地址和代理节点IP地址,对IP地址检测总表中的可疑信息进行分组,得到可疑信息组。针对任意一个可疑信息组,服务器计算该可疑信息组的平均系数,根据该平均系数判断该可疑信息组是否为告警分组,如果是,则确定该告警分组对应的待检测IP地址存在端口扫描行为。服务器通过可疑信息组将至少两个代理节点上报的可疑信息综合起来,可以减少将可疑信息组误判为告警分组的情况,从而减少误判待检测IP地址存在端口扫描行为的情况,有利于提高端口扫描检测的准确率。
附图说明
图1为本申请中端口扫描行为的检测系统一个实施例的结构示意图;
图2为本申请中端口扫描行为的检测方法一个实施例的流程示意图;
图3为本申请中端口扫描行为的检测方法另一个实施例的流程示意图;
图4为本申请中端口扫描行为的检测方法另一个实施例的流程示意图;
图5为本申请中端口扫描行为的检测方法另一个实施例的流程示意图;
图6为本申请中端口扫描行为的检测方法另一个实施例的流程示意图;
图7为本申请中服务器一个实施例的结构示意图;
图8为本申请中服务器另一个实施例的结构示意图;
图9为本申请中服务器另一个实施例的结构示意图;
图10为本申请中代理节点一个实施例的结构示意图;
图11为本申请中代理节点另一个实施例的结构示意图。
具体实施方式
本申请提供了一种端口扫描行为的检测方法及系统、服务器、代理节点,有利于提高端口扫描检测的准确率。
下面结合附图,对本发明的实施例进行描述。
请参阅图1,图1是本申请实施例提供的一种端口扫描行为的检测系统的架构示意图,如图所示:
服务器101和至少两个代理节点102。
服务器101用于:
合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,IP地址检测总表包括多个可疑信息,每一可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,请求端口数为待检测IP地址访问代理节点IP地址的开放端口的数量,总开放端口数为代理节点IP地址开放端口的总数,占比系数为请求端口数与总开放端口数的比值;
根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组,其中,待检测IP地址相同且代理节点IP地址业务属性相同的可疑信息为同一组,或待检测IP地址相同且代理节点IP地址处于同一网段范围内的可疑信息为同一组;
分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;
针对任意一个可疑信息组,根据可疑信息组对应的平均系数判断可疑信息组是否为告警分组;
若是,则确定告警分组对应的待检测IP地址存在端口扫描行为。
代理节点102用于:
每隔预设周期对本机的开放端口进行监听,得到IP地址访问表,IP地址访问表包括至少一个监听信息,监听信息包括待检测IP地址、代理节点IP地址、请求端口数和总开放端口数,待检测IP地址为监听到的IP地址,代理节点IP地址为本机的IP地址,请求端口数为待检测IP地址访问本机开放端口的数量,总开放端口数为本机开放端口的总数;
根据监听信息生成待检测信息,待检测信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,占比系数为请求端口数和总开放端口数的比值;
判断待检测信息中是否存在可疑信息,可疑信息为占比系数大于或等于预设的占比系数阈值的待检测信息;
若是,则根据可疑信息生成IP地址检测表;
向服务器发送IP地址检测表,以使得服务器根据IP地址检测表判断是否存在进行端口扫描行为的待检测IP地址。
请参阅图2,图2是本申请实施例提供的一种端口扫描行为的检测方法的流程示意图,如图所示:
201、服务器合并至少两个代理节点发送的至少两个IP地址检测表,得到IP地址检测总表;
可选的,服务器首先接收至少两个代理节点会向服务器发送至少两个IP地址检测表,其中,代理节点与IP地址检测表一一对应。服务器则接收到这些IP地址检测表后,针对这些IP地址检测表执行合并操作,从而得到IP地址检测总表。IP地址检测总表中包括多个可疑信息,每一个可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数的信息。其中,请求端口数为待检测IP地址访问代理节点IP地址开放端口的数量;总开放端口数为代理节点IP地址开放端口的总数;占比系数为请求端口数与总开放端口数的比值。
以下为本实施例中IP地址检测表和IP地址检测总表的例子,其中,表1为来自代理节点A的IP地址检测表,表2为来自代理节点B的IP地址检测表,表3为服务器合并代理节点A和代理节点B的IP地址检测表得到的IP地址检测总表。
表1
表2
表3
202、服务器根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组;
服务器在得到IP地址检测总表之后,可以根据待检测IP地址和代理节点IP地址,对IP地址检测总表中的可疑信息进行分组处理,得到多个可疑信息组,以可疑信息组为最小单位,判断是否存在进行端口扫描行为的待检测IP地址。服务器对IP地址检测总表中的可疑信息进行分组,将待检测IP地址相同,并且代理节点IP地址业务属性相同的可疑信息划分为同一组;或者,将待检测IP地址相同,并且代理节点IP地址处于同一网段范围内的可疑信息划分为同一组。网段范围是服务器预先设定的,例如服务器划分了2.2.2.0至2.2.2.9,2.2.2.10至2.2.2.19,2.2.2.20至2.2.2.29共3个网段范围,代理节点IP地址为2.2.2.2和代理节点IP地址为2.2.2.3都处于2.2.2.0至2.2.2.9网段范围,因此这两个代理节点IP地址处于同一网段范围。
以步骤201中所举例子为例,若2.2.2.3和2.2.2.2处于同一网段范围内,服务器根据将待检测IP地址相同,并且代理节点IP地址处于同一网段范围内的可疑信息划分为同一组,那么得到的多个可疑信息组如表4所示:
表4
业务属性是指某种电信业务的规定特性,一个业务是由一个或多个业务属性组合而成的,在实际应用中,多个代理节点可以为用户提供多种业务服务,而这些代理节点之间,有些代理节点的业务属性是相同的,黑产IP会对业务属性相同的代理节点进行端口扫描行为,因此服务器将待检测IP地址相同,且代理节点IP地址业务属性相同的可疑信息划分到同一组可疑信息组,有利于提高判断待检测IP地址存在端口扫描行为的准确性。
黑产IP有时候会根据网段范围对代理节点进行端口扫描行为,因此,服务器根据网段范围对可疑信息组进行划分,可以有效针对该种类型的端口扫描行为,有利于提高判断是否存在端口扫描行为的准确性。
203、服务器分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;
可选的,在得到多个可疑信息组之后,服务器可以分别计算出每一个可疑信息组的占比系数的均值,从而得到每个可疑信息组对应的平均系数。
以步骤202中的表4为例,每个可疑信息组的平均系数如表5所示:
表5
204、针对任意一个可疑信息组,服务器根据可疑信息组对应的平均系数判断可疑信息组是否为告警分组,若是则执行步骤205;
可选的,针对任意一个可疑信息组,服务器可以根据该可疑信息组的平均系数,通过多种方式判断该可疑信息组是否为告警分组,如果确定该可疑信息组是告警分组,则可以执行步骤205。
具体实施过程中,针对表5所示的例子,如果将平均系数大于或等于预设值的可疑信息组作为告警分组,当预设值的取值为0.5时,那么此时一组、二组、四组为告警分组,三组不为告警分组。
205、服务器确定告警分组对应的待检测IP地址存在端口扫描行为。
可选的,当服务器确定该可疑信息组是告警分组时,则可以确定该告警分组对应的待检测IP地址存在端口扫描行为。
本申请中,服务器首先合并至少两个代理节点发送的至少两个IP地址检测表,得到IP地址检测总表,然后根据待检测IP地址和代理节点IP地址,对IP地址检测总表中的可疑信息进行分组,得到可疑信息组。针对任意一个可疑信息组,服务器计算该可疑信息组的平均系数,根据该平均系数判断该可疑信息组是否为告警分组,如果是,则确定该告警分组对应的待检测IP地址存在端口扫描行为。服务器通过可疑信息组将至少两个代理节点上报的可疑信息综合起来,可以减少将可疑信息组误判为告警分组的情况,从而减少误判待检测IP地址存在端口扫描行为的情况,有利于提高端口扫描检测的准确率。
请参阅图3,本申请中端口扫描行为的检测方法另一个实施例包括:
301、服务器合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表;
302、服务器根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组;
303、服务器分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;
在本申请实施例中,步骤301至303与前述实施例中的步骤201至203类似,此处不再赘述。
304、针对任意一个可疑信息组,服务器判断可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值,若是,则执行步骤305;
可选的,针对任意一个可疑信息组,服务器可以将该可疑信息组的平均系数与预先设计的平均系数阈值进行比较,如果该平均系数大于或者等于平均系数阈值,则服务器可以执行步骤305;否则,服务器可以结束流程。
305、服务器判断可疑信息组对应的待检测IP地址是否与风险IP地址相匹配,若匹配,则执行步骤306;
可选的,在确定该可疑信息组的平均系数大于或者等于平均系数阈值后,服务器可以将该可疑信息组中的待检测IP地址与预设的风险IP地址进行匹配,如果服务器确定风险IP地址中存在与该待检测IP地址相匹配的IP地址,那么服务器可以执行步骤306;否则,服务器可以结束流程。其中,风险IP地址即为可以影响代理节点的安全性的IP地址,风险IP地址可以是从互联网中获取到的风险情报黑IP地址,也可以是自定义的IP地址黑名单,具体此处不做限定。
可选的,将可以信息组的待检测IP地址和预设的风险IP地址进行匹配,可以包括:将待检测IP地址作为检索条件,检索风险IP地址中是否存在相同的IP地址,如果存在,则可以确定待检测IP地址与风险IP地址相匹配;如果不存在,则可以确定待检测IP地址不与风险IP地址相匹配。
306、服务器确定可疑信息组为告警分组;
可选的,当服务器确定该可疑信息组的平均系数大于或者等于平均系数阈值,并且确定该可疑信息组的待检测IP地址与风险IP地址匹配时,可以确定该可疑信息组为告警分组。
307、服务器确定告警分组对应的待检测IP地址存在端口扫描行为。
本实施例中,步骤307与前述实施例中的步骤205类似,此处不再赘述。
可见,在本申请实施例中,针对任意一个可疑信息组,服务器在确定该可疑信息组的平均系数大于或等于平均系数阈值之后,还进一步判断该可疑信息组中的待检测IP地址是否与风险IP地址匹配,如果匹配,服务器才确定该可疑信息组中的待检测IP地址存在端口扫描行为,进一步减少了误判待检测IP地址存在端口扫描行为的情况。
请参阅图4,本申请中端口扫描行为的检测方法另一个实施例包括:
401、服务器合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表;
402、服务器根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组;
403、服务器分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;
本实施例中,步骤401至403与前述实施例中的步骤201至203类似,此处不再赘述。
404、针对任意一个可疑信息组,服务器判断可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值,若是,则执行步骤405;
可选的,针对任意一个可疑信息组,服务器可以将该可疑信息组的平均系数与预先设计的平均系数阈值进行比较,如果该平均系数大于或者等于平均系数阈值,则服务器可以执行步骤405;否则,服务器可以结束流程。
405、服务器获取可疑信息组的待检测IP地址对应的IP风险画像结果;
在确定该可疑信息组的平均系数大于或者等于平均系数阈值后,服务器可以通过第三方提供的IP风险画像查询服务,查询该可疑信息组的待检测IP地址,然后获取第三方返回的IP风险画像结果。其中,IP风险画像结果包括风险分值、IP类型、位置信息等信息。
406、服务器提取IP风险画像结果的风险分值;
可选的,服务器获取到IP风险画像结果之后,因为IP风险画像结果中包括风险分值,所以服务器可以从中提取出风险分值,以根据该风险分值进一步判断该可疑信息组是否为告警分组。
407、服务器判断风险分值是否大于或等于预设的风险分值阈值,若是,则执行步骤408;
可选的,服务器可以将该风险分值与预设的风险分值阈值作比较,如果该风险分值大于或者等于风险分值阈值,那么服务器可以执行步骤408。
408、服务器确定可疑信息组为告警分组;
可选的,当服务器确定该可疑信息组的平均系数大于或者等于平均系数阈值,并且确定该可疑信息组的待检测IP地址对应的风险分值大于或者等于风险分值阈值时,可以确定该可疑信息组为告警分组。
409、服务器确定告警分组对应的待检测IP地址存在端口扫描行为。
在本申请实施例中,步骤409与前述实施例中的步骤205类似,此处不再赘述。
在本申请实施例中,针对任意一个可疑信息组,服务器在确定该可疑信息组的平均系数大于或等于平均系数阈值之后,还进一步获取该可疑信息组的待检测IP地址对饮的IP风险画像结果,如果该IP风险画像结果中的风险分值大于或者等于风险分值阈值,服务器才确定该可疑信息组中的待检测IP地址存在端口扫描行为,进一步减少了误判待检测IP地址存在端口扫描行为的情况,有利于提高端口扫描检测的准确率。
请参阅图5,本申请中端口扫描行为的检测方法另一个实施例包括:
501、服务器合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表;
502、服务器根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组;
503、服务器分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;
本实施例中,步骤501至503与前述实施例中的步骤201至203类似,此处不再赘述。
504、针对任意一个可疑信息组,服务器判断可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值,若是,则执行步骤505;
可选的,针对任意一个可疑信息组,服务器可以将该可疑信息组的平均系数与预先设计的平均系数阈值进行比较,如果该平均系数大于或者等于平均系数阈值,则服务器可以执行步骤505;否则,服务器可以结束流程。
505、服务器提取可疑信息组的待检测IP地址对应的历史访问数据,历史访问数据中包括异常访问次数;
可选的,在确定该可疑信息组的平均系数大于或者等于平均系数阈值后,服务器可以查询存储在本地或者云端的历史IP地址检测总表,如果查询到该可疑信息组的待检测IP地址对应的历史访问数据,则提取该历史访问数据,从而得到其中的异常访问次数。某一待检测IP地址的异常访问次数,指的是服务器历史以来接收到的IP地址检测表中,该待检测IP地址出现的总次数。
506、服务器判断异常访问次数是否大于或等于预设的异常访问次数阈值,若是,则执行步骤507;
可选的,服务器在得到该可疑信息组中待检测IP地址的异常访问次数之后,可以判断该异常访问次数是否大于或者等于预设的异常访问次数阈值,如果是,则服务器可以执行步骤507;如果不是,即当该可疑信息组的异常访问次数小于异常访问次数阈值时,在服务器可以结束流程。
507、服务器确定可疑信息组为告警分组;
可选的,当服务器确定该可疑信息组的平均系数大于或者等于平均系数阈值,并且确定该可疑信息组的待检测IP地址对应的异常访问次数大于或者等于异常访问次数阈值时,可以确定该可疑信息组为告警分组。
508、服务器确定告警分组对应的待检测IP地址存在端口扫描行为。
本实施例中,步骤508与前述实施例中的步骤205类似,此处不再赘述。
本实施例中,针对任意一个可疑信息组,服务器在确定该可疑信息组的平均系数大于或等于平均系数阈值之后,还进一步判断该可疑信息组的待检测IP地址对应的历史异常访问次数是否大于或等于异常访问次数阈值,如果是,服务器才确定该可疑信息组中的待检测IP地址存在端口扫描行为,进一步减少了误判待检测IP地址存在端口扫描行为的情况,有利于提高端口扫描检测的准确率。
请参阅图6,本申请中端口扫描行为的检测方法另一个实施例包括:
601、代理节点每隔预设周期对本机的开放端口进行监听,得到IP地址访问表;
代理节点可以每隔预设周期对本机的开放端口进行监听,得到IP地址访问表。IP地址访问表中包括多个监听记录,每一个监听记录包括待检测IP地址、代理节点IP地址(本机的IP地址)、请求端口数和总开放端口数的信息。其中,所述请求端口数为所述待检测IP地址访问本机开放端口的数量;总开放端口数为本机开放端口的总数。IP地址访问表的一个例子如表6所示:
表6
602、代理节点根据监听信息生成待检测信息;
对于IP地址访问表的每一个监听记录,代理节点可以计算请求端口数和总开放端口数的比值,将该比值作为对应的监听记录的占比系数,并将该占比系数和对应的监听记录组合起来,生成对应的待检测信息。以表6为例,对应的待检测信息如表7所示:
表7
603、代理节点判断待检测信息中是否存在可疑信息,若存在则执行步骤604,若不存在,则结束流程;
代理节点可以将每一个待检测信息的占比系数与预设的占比系数阈值进行比较,如果某一个待检测信息的占比系数大于或者等于占比系数阈值,则代理节点可以确定该待检测信息为可疑信息,从而确定存在可疑信息,然后执行步骤604。
604、代理节点根据可疑信息生成IP地址检测表;
在确定存在可疑信息之后,代理节点可以将所有的可疑信息进行整合,从而生成IP地址检测表。
以表7为例,如果占比系数阈值取0.5,那么生成的IP地址检测表如表8所示:
表8
605、代理节点向服务器发送IP地址检测表。
代理节点可以将IP地址检测表发送给服务器,让服务器结合多个代理节点判断是否存在进行端口扫描行为的待检测IP地址。
本实施例中,代理节点只对本机的开放端口进行监听,而忽略待检测IP地址对本机未开放的端口进行连接请求,可以减少因执行监听对本机资源的占用,有利于节省本机资源,同时,有利于提升监听效率。
请参阅图7,本申请中服务器一个实施例包括:
合并单元701,用于合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,IP地址检测总表包括多个可疑信息,每一可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,请求端口数为待检测IP地址访问代理节点IP地址的开放端口的数量,总开放端口数为代理节点IP地址开放端口的总数,占比系数为请求端口数与总开放端口数的比值;
分组单元702,用于根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组,其中,待检测IP地址相同且代理节点IP地址业务属性相同的可疑信息为同一组,或待检测IP地址相同且代理节点IP地址处于同一网段范围内的可疑信息为同一组;
计算单元703,用于分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;
判断单元704,用于针对任意一个可疑信息组,根据可疑信息组对应的平均系数判断可疑信息组是否为告警分组;
确定单元705,用于当判断单元704确定可疑信息组为告警分组时,确定告警分组对应的待检测IP地址存在端口扫描行为。
请参阅图8,本申请中服务器另一个实施例包括:
合并单元801,用于合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,IP地址检测总表包括多个可疑信息,每一可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,请求端口数为待检测IP地址访问代理节点IP地址的开放端口的数量,总开放端口数为代理节点IP地址开放端口的总数,占比系数为请求端口数与总开放端口数的比值;
分组单元802,用于根据待检测IP地址和代理节点IP地址对可疑信息进行分组,得到多个可疑信息组,其中,待检测IP地址相同且代理节点IP地址业务属性相同的可疑信息为同一组,或待检测IP地址相同且代理节点IP地址处于同一网段范围内的可疑信息为同一组;
计算单元803,用于分别计算每一可疑信息组的占比系数的均值,得到多个平均系数;
判断单元804,用于针对任意一个可疑信息组,根据可疑信息组对应的平均系数判断可疑信息组是否为告警分组;
确定单元805,用于当判断单元804确定可疑信息组为告警分组时,确定告警分组对应的待检测IP地址存在端口扫描行为。
可选的,判断单元804包括第一判断模块8041,第一判断模块8041用于:
判断可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则判断可疑信息组对应的待检测IP地址是否与风险IP地址相匹配;
若匹配,则确定可疑信息组为告警分组。
可选的,判断单元804包括第二判断模块8042,第二判断模块8042用于:
判断可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则获取可疑信息组的待检测IP地址对应的IP风险画像结果;
提取IP风险画像结果的风险分值;
判断风险分值是否大于或等于预设的风险分值阈值;
若是,则确定可疑信息组为告警分组。
可选的,判断单元804包括第三判断模块8043,第三判断模块8043用于:
判断可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则提取可疑信息组的待检测IP地址对应的历史访问数据,历史访问数据中包括异常访问次数;
判断异常访问次数是否大于或等于预设的异常访问次数阈值;
若是,则确定可疑信息组为告警分组。
请参阅图9,本申请中另服务器一个实施例包括:
处理器901、存储器902、输入输出单元903以及总线904;
处理器901与存储器902、输入输出单元903以及总线904相连;
存储器902保存有程序,处理器901调用程序以执行图2至图5所示实施例中的方法。
请参与图10,本申请中代理节点一个实施例包括:
监听单元1001,用于每隔预设周期对本机的开放端口进行监听,得到IP地址访问表,IP地址访问表包括至少一个监听信息,监听信息包括待检测IP地址、代理节点IP地址、请求端口数和总开放端口数,待检测IP地址为监听到的IP地址,代理节点IP地址为本机的IP地址,请求端口数为待检测IP地址访问本机开放端口的数量,总开放端口数为本机开放端口的总数;
第一生成单元1002,用于根据监听信息生成待检测信息,待检测信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,占比系数为请求端口数和总开放端口数的比值;
判断单元1003,用于判断待检测信息中是否存在可疑信息,可疑信息为占比系数大于或等于预设的占比系数阈值的待检测信息;
第二生成单元1004,用于当判断单元确定待检测信息中存在可疑信息时,根据可疑信息生成IP地址检测表;
发送单元1005,用于向服务器发送IP地址检测表,以使得服务器根据IP地址检测表判断是否存在进行端口扫描行为的待检测IP地址。
请参与图11,本申请中代理节点另一个实施例包括:
处理器1101、存储器1102、输入输出单元1103以及总线1104;
处理器1101与存储器1102、输入输出单元1103以及总线1104相连;
存储器1102保存有程序,处理器1101调用程序以执行图6所示实施例中的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,read-only memory)、随机存取存储器(RAM,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种端口扫描行为的检测方法,其特征在于,包括:
服务器合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,所述IP地址检测总表包括多个可疑信息,每一所述可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,所述请求端口数为所述待检测IP地址访问所述代理节点IP地址的开放端口的数量,所述总开放端口数为所述代理节点IP地址开放端口的总数,所述占比系数为所述请求端口数与所述总开放端口数的比值;
所述服务器根据所述待检测IP地址和所述代理节点IP地址对所述可疑信息进行分组,得到多个可疑信息组,其中,所述待检测IP地址相同且所述代理节点IP地址业务属性相同的可疑信息为同一组,或所述待检测IP地址相同且所述代理节点IP地址处于同一网段范围内的可疑信息为同一组;
所述服务器分别计算每一所述可疑信息组的占比系数的均值,得到多个平均系数;
针对任意一个所述可疑信息组,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组;
若是,则所述服务器确定所述告警分组对应的待检测IP地址存在端口扫描行为。
2.根据权利要求1所述的方法,其特征在于,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组包括:
所述服务器判断所述可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则所述服务器判断所述可疑信息组对应的待检测IP地址是否与风险IP地址相匹配;
若匹配,则所述服务器确定所述可疑信息组为告警分组。
3.根据权利要求1所述的方法,其特征在于,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组包括:
所述服务器判断所述可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则所述服务器获取所述可疑信息组的待检测IP地址对应的IP风险画像结果;
所述服务器提取所述IP风险画像结果的风险分值;
所述服务器判断所述风险分值是否大于或等于预设的风险分值阈值;
若是,则所述服务器确定所述可疑信息组为告警分组。
4.根据权利要求1所述的方法,其特征在于,所述服务器根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组包括:
所述服务器判断所述可疑信息组对应的平均系数是否大于或等于预设的平均系数阈值;
若是,则所述服务器提取所述可疑信息组的待检测IP地址对应的历史访问数据,所述历史访问数据中包括异常访问次数;
所述服务器判断所述异常访问次数是否大于或等于预设的异常访问次数阈值;
若是,则所述服务器确定所述可疑信息组为告警分组。
5.一种端口扫描行为的检测方法,其特征在于,包括:
代理节点每隔预设周期对本机的开放端口进行监听,得到IP地址访问表,所述IP地址访问表包括至少一个监听信息,所述监听信息包括待检测IP地址、代理节点IP地址、请求端口数和总开放端口数,所述待检测IP地址为监听到的IP地址,所述代理节点IP地址为本机的IP地址,所述请求端口数为所述待检测IP地址访问本机开放端口的数量,所述总开放端口数为本机开放端口的总数;
所述代理节点根据所述监听信息生成待检测信息,所述待检测信息包括所述待检测IP地址、所述代理节点IP地址、所述请求端口数、所述总开放端口数和占比系数,所述占比系数为所述请求端口数和所述总开放端口数的比值;
所述代理节点判断所述待检测信息中是否存在可疑信息,所述可疑信息为所述占比系数大于或等于预设的占比系数阈值的待检测信息;
若是,则所述代理节点根据所述可疑信息生成IP地址检测表;
所述代理节点向服务器发送所述IP地址检测表,以使得所述服务器根据所述IP地址检测表判断是否存在进行端口扫描行为的待检测IP地址。
6.一种服务器,其特征在于,包括:
合并单元,用于合并至少两个代理节点发送的至少两个互联网协议IP地址检测表,得到IP地址检测总表,所述IP地址检测总表包括多个可疑信息,每一所述可疑信息包括待检测IP地址、代理节点IP地址、请求端口数、总开放端口数和占比系数,所述请求端口数为所述待检测IP地址访问所述代理节点IP地址的开放端口的数量,所述总开放端口数为所述代理节点IP地址开放端口的总数,所述占比系数为所述请求端口数与所述总开放端口数的比值;
分组单元,用于根据所述待检测IP地址和所述代理节点IP地址对所述可疑信息进行分组,得到多个可疑信息组,其中,所述待检测IP地址相同且所述代理节点IP地址业务属性相同的可疑信息为同一组,或所述待检测IP地址相同且所述代理节点IP地址处于同一网段范围内的可疑信息为同一组;
计算单元,用于分别计算每一所述可疑信息组的占比系数的均值,得到多个平均系数;
判断单元,用于针对任意一个所述可疑信息组,根据所述可疑信息组对应的平均系数判断所述可疑信息组是否为告警分组;
确定单元,用于当所述判断单元确定所述可疑信息组为所述告警分组时,确定所述告警分组对应的待检测IP地址存在端口扫描行为。
7.一种代理节点,其特征在于,包括:
监听单元,用于每隔预设周期对本机的开放端口进行监听,得到IP地址访问表,所述IP地址访问表包括至少一个监听信息,所述监听信息包括待检测IP地址、代理节点IP地址、请求端口数和总开放端口数,所述待检测IP地址为监听到的IP地址,所述代理节点IP地址为本机的IP地址,所述请求端口数为所述待检测IP地址访问本机开放端口的数量,所述总开放端口数为本机开放端口的总数;
第一生成单元,用于根据所述监听信息生成待检测信息,所述待检测信息包括所述待检测IP地址、所述代理节点IP地址、所述请求端口数、所述总开放端口数和占比系数,所述占比系数为所述请求端口数和所述总开放端口数的比值;
判断单元,用于判断所述待检测信息中是否存在可疑信息,所述可疑信息为所述占比系数大于或等于预设的占比系数阈值的待检测信息;
第二生成单元,用于当所述判断单元确定所述待检测信息中存在所述可疑信息时,根据所述可疑信息生成IP地址检测表;
发送单元,用于向服务器发送所述IP地址检测表,以使得所述服务器根据所述IP地址检测表判断是否存在进行端口扫描行为的待检测IP地址。
8.一种服务器,其特征在于,包括:
处理器、存储器、输入输出单元以及总线;
所述处理器与所述存储器、所述输入输出单元以及所述总线相连;
所述存储器保存有程序,所述处理器调用所述程序以执行如权利要求1至4中任一项所述的方法。
9.一种代理节点,其特征在于,包括:
处理器、存储器、输入输出单元以及总线;
所述处理器与所述存储器、所述输入输出单元以及所述总线相连;
所述存储器保存有程序,所述处理器调用所述程序以执行如权利要求5所述的方法。
10.一种端口扫描行为的检测系统,其特征在于,所述检测系统包括如权利要求6所述的服务器和至少两个如权利要求7所述的代理节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110954157.8A CN113872931B (zh) | 2021-08-19 | 2021-08-19 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110954157.8A CN113872931B (zh) | 2021-08-19 | 2021-08-19 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113872931A CN113872931A (zh) | 2021-12-31 |
| CN113872931B true CN113872931B (zh) | 2023-10-10 |
Family
ID=78990664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110954157.8A Active CN113872931B (zh) | 2021-08-19 | 2021-08-19 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113872931B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055171B (zh) * | 2023-01-10 | 2023-11-10 | 深圳市非常聚成科技有限公司 | 一种防火墙端口管理方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
| CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11184377B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
-
2021
- 2021-08-19 CN CN202110954157.8A patent/CN113872931B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
| CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113872931A (zh) | 2021-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN101702660B (zh) | 异常域名检测方法及系统 | |
| US20190044962A1 (en) | Method, Apparatus, and Device for Detecting E-mail Attack | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US20110185425A1 (en) | Network attack detection devices and methods | |
| EP3905624B1 (en) | Botnet domain name family detecting method, device, and storage medium | |
| US20140165198A1 (en) | System and method for malware detection using multidimensional feature clustering | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
| WO2011113239A1 (zh) | 域名系统流量检测方法与域名服务器 | |
| CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN111614627A (zh) | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN111581397A (zh) | 一种基于知识图谱的网络攻击溯源方法、装置及设备 | |
| CN112839017B (zh) | 一种网络攻击检测方法及其装置、设备和存储介质 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| US11706114B2 (en) | Network flow measurement method, network measurement device, and control plane device | |
| CN102447707A (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
| CN103905456B (zh) | 一种基于熵模型的dns反解攻击的检测方法 | |
| Wang et al. | Alert correlation system with automatic extraction of attack strategies by using dynamic feature weights | |
| CN111628900A (zh) | 基于网络协议的模糊测试方法、装置和计算机可读介质 | |
| CN112437062B (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
| CN110958245B (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
| CN113872931B (zh) | 一种端口扫描行为的检测方法及系统、服务器、代理节点 | |
| Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |