CN114070613A - 一种识别漏洞扫描的方法、装置、设备及存储介质 - Google Patents

Abstract

本申请实施例提供一种识别漏洞扫描的方法、装置、设备及存储介质，该方法包括：若确认探测源存在对多个连续网络参数值的探测行为时，则确认所述探测源为漏洞扫描源，其中，所述网络参数值是与被探测内网对象相关的值；阻断所述探测源对所述被探测内网对象的访问操作。通过本申请的一些实施例能够实现通过判断同一探测源对连续多个网络参数的访问，确认该探测源属于风险源并进行阻断，从而能够快速准确的识别探测源的漏洞扫描行为，降低被探测内网对象的风险，并且提高运维效率。

Description

一种识别漏洞扫描的方法、装置、设备及存储介质

技术领域

本申请实施例涉及漏洞扫描领域，具体涉及一种识别漏洞扫描的方法、装置、设备及存储介质。

背景技术

相关技术中，当发生网络攻击前，探测源会先扫描内网主机漏洞，然后针对内网主机漏洞进行攻击。为了防御攻击，在网关设备上对访问内网主机的服务端口进行过滤，只允许业务端口访问主机，非业务端口拒绝访问主机，但是，上述方法需要精确掌握每台内网主机服务端口，工作量大且存在遗留问题，增大运维难度。

因此，如何高效的识别探测源的漏洞扫描行为成为亟待解决的问题。

发明内容

本申请实施例提供一种识别漏洞扫描的方法、装置、设备及存储介质，通过本申请的一些实施例至少能够快速准确的识别探测源的漏洞扫描行为，降低被探测内网对象的风险，并且提高运维效率。

第一方面，本申请的一些实施例提供了一种识别漏洞扫描的方法，所述方法包括：若确认探测源存在对多个连续网络参数值的探测行为时，则确认所述探测源为漏洞扫描源，其中，所述网络参数值是与被探测内网对象相关的值；阻断所述探测源对所述被探测内网对象的访问操作。

与相关技术中为了防御漏洞扫描行为需要知道每台内网主机服务端口的技术方案不同，本申请实施例通过统计探测源的扫描行为即时发现正在进行异常探测的探测源进而阻断探测过程，可以有效避免像现有技术的方案需要对内网主机服务端口的依赖且通过本申请实施例的技术方案还可以减低被探测内网对象的风险，进而提高效率，降低运维难度。

结合第一方面，在本申请的一些实施方式中，所述探测行为是通过遍历针对所述探测源建立的探测信息表确认的。

本申请的一些实施例通过遍历探测源的探测信息可以快速查找出存在风险的探测源。

结合第一方面，在本申请的一些实施方式中，所述确认探测源存在对多个连续网络参数值的探测行为，包括：获取所述探测源发送的探测请求信息，其中，所述探测请求信息包括所述网络参数值和所述探测源的IP地址；根据所述探测请求信息生成探测信息表，其中，所述探测信息表用于记录被所述探测源探测的所述网络参数值；确认所述探测信息表中的多个网络参数值是连续的。

本申请实施例通过探测信息表记录探测源的探测行为，可以通过查找这个信息表即时发现有风险的探测源，从而认定探测源在进行漏洞扫描，属于高危探测源。

结合第一方面，在本申请的一些实施方式中，所述获取所述探测源发送的探测请求信息，包括：获取所述探测请求信息包括的所述被探测内网主机的IP地址和所述探测源的IP地址；所述根据所述探测请求信息生成探测信息表，包括：根据所述被探测内网主机的IP地址和所述探测源的IP地址，生成IP探测信息表，其中，所述IP探测信息表用于记录被所述探测源探测的所述内网主主机的IP地址；所述确认所述探测信息表中的多个网络参数值是连续的，包括：确认所述IP探测信息表中的多个被探测内网主机的IP地址是连续的。

本申请的一些实施例通过确认探测源是否存在对内网主机IP地址的连续访问行为来识别风险探测源，即时阻断这些风险探测源对相应主机的访问扫描。

结合第一方面，在本申请的一些实施方式中，所述根据所述被探测内网主机的IP地址和所述探测源的IP地址，生成IP探测信息表，包括：读取初始IP探测信息表；确认所述初始IP探测信息表的表项中存在所述被探测内网主机的IP地址，则将所述被探测内网主机的IP地址保存在所述表项中，获得所述IP探测信息表，其中，所述表项与所述被探测内网主机的IP地址相对应；或者，确认所述初始IP探测信息表的表项中不存在所述被探测内网主机的IP地址，则创建新表项；将所述被探测内网主机的IP地址保存在所述新表项中，获得所述IP探测信息表。

因此，本申请实施例通过将被探测源探测的内网主主机的IP地址，记录在IP探测信息表中，能够明确得知探测源访问IP地址的行为，从而通过探测源访问的IP地址是否连续，来判断探测源是否为漏洞扫描源，进而对探测源的探测行为进行阻断。

结合第一方面，在本申请的一些实施方式中，所述获取所述探测源发送的探测请求信息，包括：获取所述探测请求信息包括的所述探测源的IP地址、被探测内网主机的IP地址和端口号；所述根据所述探测请求信息生成探测信息表，包括：根据所述被探测内网主机的IP地址、所述探测源的IP地址和所述被探测内网主机的端口号，生成端口探测信息表，其中，所述端口探测信息表用于记录被所述探测源探测的所述被探测内网主主机的IP地址和端口号；所述确认所述探测信息表中的多个网络参数值是连续的，包括：确认所述端口探测信息表中针对同一被探测内网主机的多个端口号是连续的。

本申请的一些实施例通过确认探测源是否存在对某一主机上多个连续端口号的访问行为来识别风险探测源，即时阻断这些风险探测源对相应主机的访问扫描。

结合第一方面，在本申请的一些实施方式中，根据所述被探测内网主机的IP地址、所述探测源的IP地址和所述被探测内网主机的端口号，生成端口探测信息表，包括：读取初始端口探测信息表；确认所述初始端口探测信息表的表项中存在所述被探测内网主机的IP地址和所述探测源的IP地址，则将所述端口号保存在所述表项中，获得所述端口探测信息表，其中，所述表项与所述端口号相对应；或者，确认所述初始端口探测信息表的表项中不存在所述被探测内网主机的IP地址和所述探测源的IP地址，则创建新表项；将所述端口号和所述被探测内网主机的IP地址保存在所述新表项中，获得所述端口探测信息表。

因此，本申请实施例通过将被探测源探测的内网主主机的IP地址和端口号，记录在端口探测信息表中，能够明确得知探测源访问端口的行为，从而通过同一探测源访问的IP地址的端口号是否连续，来判断探测源是否为漏洞扫描源，进而对探测源的探测行为进行阻断。

结合第一方面，在本申请的一些实施方式中，在所述根据所述探测请求信息生成探测信息表之前，所述方法还包括：获取防护IP集合，其中，所述防护IP集合为需要防护的IP地址集合；确认所述防护IP集合中包括所述被探测内网主机的IP地址。

因此，本申请实施例通过设定防护IP集合，能够筛选出需要防护的被探测内网主机，从而能够减少在识别漏洞扫描过程中的数据处理量，从而提升识别漏洞扫描的效率，减少无关IP地址对识别过程的影响。

结合第一方面，在本申请的一些实施方式中，被探测内网主机的IP地址是由所述探测源通过网络控制报文协议(Internet Control Message Protocol，ICMP)发送的。

结合第一方面，在本申请的一些实施方式中，端口号是由所述探测源通过传输控制协议(Transmission Control Protocol，TCP)的同步序列(Synchronize SequenceNumbers，SYN)数据包发送的。

第二方面，本申请的一些实施例提供了一种识别漏洞扫描的装置，所述装置包括：探测行为确认模块，被配置为若确认探测源存在对多个连续网络参数值的探测行为时，则确认所述探测源为漏洞扫描源，其中，所述网络参数值是与被探测内网对象相关的值；扫描阻断模块，被配置为阻断所述探测源对所述被探测内网对象的访问操作。

结合第二方面，在本申请的一些实施方式中，所述探测行为是通过遍历针对所述探测源建立的探测信息表确认的。

结合第二方面，在本申请的一些实施方式中，探测行为确认模块还被配置为：获取所述探测源发送的探测请求信息，其中，所述探测请求信息包括所述网络参数值和所述探测源的IP地址；根据所述探测请求信息生成探测信息表，其中，所述探测信息表用于记录被所述探测源探测的所述网络参数值；确认所述探测信息表中的多个网络参数值是连续的。

结合第二方面，在本申请的一些实施方式中，探测行为确认模块还被配置为：获取所述探测请求信息包括的所述被探测内网主机的IP地址和所述探测源的IP地址；根据所述被探测内网主机的IP地址和所述探测源的IP地址，生成IP探测信息表，其中，所述IP探测信息表用于记录被所述探测源探测的所述内网主主机的IP地址；确认所述IP探测信息表中的多个被探测内网主机的IP地址是连续的。

结合第二方面，在本申请的一些实施方式中，探测行为确认模块还被配置为：读取初始IP探测信息表；确认所述初始IP探测信息表的表项中存在所述被探测内网主机的IP地址，则将所述被探测内网主机的IP地址保存在所述表项中，获得所述IP探测信息表，其中，所述表项与所述被探测内网主机的IP地址相对应；或者，确认所述初始IP探测信息表的表项中不存在所述被探测内网主机的IP地址，则创建新表项；将所述被探测内网主机的IP地址保存在所述新表项中，获得所述IP探测信息表。

结合第二方面，在本申请的一些实施方式中，探测行为确认模块还被配置为：获取所述探测请求信息包括的所述探测源的IP地址、被探测内网主机的IP地址和端口号；根据所述被探测内网主机的IP地址、所述探测源的IP地址和所述被探测内网主机的端口号，生成端口探测信息表，其中，所述端口探测信息表用于记录被所述探测源探测的所述被探测内网主主机的IP地址和端口号；确认所述端口探测信息表中针对同一被探测内网主机的多个端口号是连续的。

结合第二方面，在本申请的一些实施方式中，探测行为确认模块还被配置为：读取初始端口探测信息表；确认所述初始端口探测信息表的表项中存在所述被探测内网主机的IP地址和所述探测源的IP地址，则将所述端口号保存在所述表项中，获得所述端口探测信息表，其中，所述表项与所述端口号相对应；或者，确认所述初始端口探测信息表的表项中不存在所述被探测内网主机的IP地址和所述探测源的IP地址，则创建新表项；将所述端口号和所述被探测内网主机的IP地址保存在所述新表项中，获得所述端口探测信息表。

结合第二方面，在本申请的一些实施方式中，探测行为确认模块还被配置为：获取防护IP集合，其中，所述防护IP集合为需要防护的IP地址集合；确认所述防护IP集合中包括所述被探测内网主机的IP地址。

结合第二方面，在本申请的一些实施方式中，被探测内网主机的IP地址是由所述探测源通过网络控制报文协议(Internet Control Message Protocol，ICMP)发送的。

结合第二方面，在本申请的一些实施方式中，端口号是由所述探测源通过传输控制协议(Transmission Control Protocol，TCP)的同步序列(Synchronize SequenceNumbers，SYN)数据包发送的。

第三方面，本申请的一些实施例提供了一种电子设备，包括：处理器、存储器和总线；所述处理器通过所述总线与所述存储器相连，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，用于实现如第一方面中任一实施例所述的方法。

第四方面，本申请的一些实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被执行时用于实现如第一方面中任一实施例所述的方法。

第五方面，本申请的一些实施例提供了一种网关设备，用于实现如第一方面中任一实施例所述的方法。

附图说明

图1为本申请实施例示出的一种识别漏洞扫描的系统组成示意图；

图2为本申请实施例示出的识别漏洞扫描的方法流程图之一；

图3为本申请实施例示出的一种识别漏洞扫描的方法的具体实施例流程图；

图4为本申请实施例示出的另识别漏洞扫描的方法的流程图之二；

图5为本申请实施例示出的识别漏洞扫描的装置的组成框图；

图6为本申请实施例示出的电子设备的组成示意图。

具体实施方式

为使本申请实施例的目标、技术方案和优点更加清楚，下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护范围。

本申请实施例可以应用于识别并阻断探测源高危探测行为的场景，为了改善背景技术中的问题，在本申请的一些实施例中，通过识别探测源存在对多个连续网络参数值的探测行为，确认探测源为高危探测源，并且阻断探测源继续扫描。例如：在本申请的一些实施例中，电子设备至少被配置为：首先，获取探测源发送的探测请求信息，接着，根据探测请求信息生成探测信息表，最后，确认探测信息表中的多个网络参数值是连续的，则阻断探测源对被探测内网对象的访问操作。

例如，在本申请的一些实施例，获取探测源发送的被探测内网主机的IP地址和探测源的IP地址，之后将被探测内网主机的IP地址和探测源的IP地址，记录到IP探测信息表中，最后，遍历IP探测信息表，确认IP探测信息表中的多个被探测内网主机的IP地址是连续的，则阻断探测源对IP地址所对应的被探测内网主机的访问操作，从而能够快速准确的识别探测源的漏洞扫描行为，降低被探测内网主机的风险，并且提高运维效率。

需要说明的是，探测源是发送探测请求信息的外网设备。例如，假设内网是安全的，则探测源是指外网设备。对于内网的大小本申请的实施例不做限制。例如，内网可能是一个大学对应的网络，有可能是一家公司对应的网络，还可能是一座城市对应的网路等，如果内网是一所大学的网络，则探测源就是所有试图访问校园内网的所有外网设备。

下面结合附图详细描述本申请实施例中的方法步骤。

图1提供了本申请一些实施例中的识别漏洞扫描的系统的结构图，该系统包括探测源110和安全设备120。具体的，探测源110在访问被探测对象的过程中，发送探测请求信息，安全设备120在获取得到探测请求信息之后，在判断需要防护的主机范围所对应的IP地址集合中包括被探测内网主机的IP地址的情况下，将探测请求信息填入到初始探测信息表中，获得探测信息表，最后，遍历探测信息表，当确认存在多个网络参数值是连续的情况下，判断探测源110为漏洞扫描源，并且阻断探测源对被探测内网对象的访问操作。

与本申请实施例不同的是相关技术中，在网关设备上对访问内网主机的服务端口进行过滤，只允许业务端口访问主机，非业务端口拒绝访问主机，这种方法需要精确掌握每台内网主机服务端口，工作量大且存在遗留问题，增大运维难度。而本申请的实施例是通过统计探测源的探测行为来识别风险探测源的，因此本申请的实施例并不需要像相关技术需要掌握每台内网主机的服务端口即可实现风险探测源识别。

下面以网关设备为例示例性阐述本申请一些实施例提供的识别漏洞扫描方案。可以理解的是，本申请实施例的识别漏洞扫描的方法的技术方案可以应用于任何安全设备上，例如，防火墙产品上。

至少为了解决上述问题，如图2所示，本申请一些实施例提供了一种识别漏洞扫描的方法，该方法包括：S210，若确认探测源存在对多个连续网络参数值的探测行为时，则确认探测源为漏洞扫描源；S220，阻断探测源对被探测内网对象的访问操作。

需要说明的是，S210涉及的网络参数值是与被探测内网对象相关的值。例如，被探测内网对象为由IP地址限定的被探测内网主机(例如：被探测内网对象为IP地址为192.1.1.1的被探测内网主机)或者为由IP地址和端口号共同限定的被探测内网主机的端口(例如：被探测内网对象为IP地址为192.1.1.1的被探测内网主机上，端口号为24的端口)。网络参数值为IP地址和端口号的具体数值，例如：IP地址为192.1.1.2，端口号为25。

可以理解的是，被探测内网主机与其IP地址相对应，一个IP地址对应一个被探测内网主机；端口是被探测内网主机上的端口，一个IP地址对应的一个被探测内网主机上包括多个端口，并且每个端口分别对应一个端口号。

例如：第一被探测内网主机的IP地址为192.1.1.1，第一被探测内网主机包括3个端口，分别为第一端口、第二端口和第三端口，第一端口的端口号为11，第二端口的端口号为12，第三端口的端口号为13。第二被探测内网主机的IP地址为192.1.1.2，第二被探测内网主机包括2个端口，分别为第四端口和第五端口，第四端口的端口号为21，第五端口的端口号为22。

为了减少不必要的针对风险探测源的探测，在本申请的一些实施方式中，在执行S210之前，首先，获取探测源发送的探测请求信息，接着根据探测请求信息生成探测信息表，最后根据探测信息表确认探测源是否为漏洞扫描源。在本申请的一些实施例中，为了减小探测次数，在根据探测请求信息生成探测信息表之前，获取防护IP集合并且确认防护IP集合中包括被探测内网主机的IP地址。

也就是说，指定需要防护的被探测内网主机的范围(即防护IP集合)，例如，需要防护的被探测内网主机的范围为192.168.1.0-192.168.1.255，即确定获取的被探测内网主机的IP地址属于防护IP集合，则执行根据探测请求信息生成探测信息表的步骤，若不在防护IP集合中，则不作任何记录。

因此，本申请实施例通过设定防护IP集合，能够筛选出需要防护的被探测内网主机，从而能够减少在识别漏洞扫描过程中的数据处理量，从而提升识别漏洞扫描的效率，减少无关IP地址对识别过程的影响。

在本申请的一些实施方式中，S210涉及的探测行为是通过遍历针对探测源建立的探测信息表确认的。确认探测源存在多个连续网络参数值的探测行为的过程如下：

步骤一：获取探测源发送的探测请求信息，其中，探测请求信息包括网络参数值和探测源的IP地址。

步骤二：根据探测请求信息生成探测信息表，其中，探测信息表用于记录被探测源探测的网络参数值。

步骤三：确认探测信息表中的多个网络参数值是连续的。

也就是说，获取探测源发送的网络参数值和探测源的IP地址，之后读取初始探测信息表，其中，初始探测信息表中包含有与网络参数值相关的表项，搜索初始探测信息表中是否包含获取的网络参数值，如果查找到则将网络参数值保存在相对应的表项中，若不存在，则建立新表项，再将网络参数值保存在新表项里，获得探测信息表，之后遍历探测信息表在确认多个网络参数值是连续的情况下，则确认探测源为漏洞扫描源，并且执行S220阻断探测源对被探测内网对象的访问操作。

例如：探测信息表中包括，探测源的IP地址为202.112.14.1，一段时间内探测源发送的探测请求信息中，包括的探测内网主机的IP地址为192.1.1.1、192.1.1.1、192.1.1.1、192.1.1.1、192.1.1.1、192.1.1.1、192.1.1.1、192.1.1.1。因此，探测内网主机的IP地址是连续的，表明探测源在一段时间内频繁的扫描该IP地址，则确认IP地址为202.112.14.1的探测源为漏洞扫描源。

可以理解的是，在通过探测信息表记录网络参数值的过程中，需要记录探测源发送网络参数值和探测源的IP地址的具体时间，以使能够避免与历史记录数据相混淆，导致判断不准确。

本申请实施例通过探测信息表记录探测源的探测行为，可以通过查找这个信息表即时发现有风险的探测源，从而认定探测源在进行漏洞扫描，属于高危探测源。

在本申请的一些实施方式中，确认探测源存在对多个连续被探测内网主机IP地址的探测行为的过程如下：

步骤一：获取探测请求信息包括的被探测内网主机的IP地址和探测源的IP地址。

例如，获取探测源发送的被探测内网主机的IP地址192.1.1.1和探测源的IP地址202.112.14.1。

步骤二：根据被探测内网主机的IP地址和探测源的IP地址，生成IP探测信息表，其中，IP探测信息表用于记录被探测源探测的内网主主机的IP地址。

作为本申请一种具体的实施例，首先，读取初始IP探测信息表。然后，确认初始IP探测信息表的表项中存在被探测内网主机的IP地址，则将被探测内网主机的IP地址保存在表项中，获得IP探测信息表，其中，表项与被探测内网主机的IP地址相对应。

也就是说，在获取被探测内网主机的IP地址和探测源的IP地址之后，获取包括历史数据的初始IP探测信息表(如表1所示)，或者仅含有表头的空白表(如表2所示)。

表1初始IP探测信息表(历史数据)

表2初始IP探测信息表(空白表)

探测源的IP地址	被探测内网主机的IP地址

在获取初始IP探测信息表之后，查找初始IP探测信息表中是否存在当前的探测源的IP地址，以及与探测源的IP地址所对应的被探测内网主机的IP地址，若存在，则将被探测内网主机的IP地址保存相对应的表项中，获得IP探测信息表。

例如：获取的被探测内网主机的IP地址为192.1.1.1和探测源的IP地址为202.112.14.1，接着获取如表1所示的初始IP探测信息表，确认表1中存在探测源的IP地址202.112.14.1，并且在探测源的IP地址202.112.14.1所在的表项中，存在被探测内网主机的IP地址192.1.1.1，则将被探测内网主机的IP地址192.1.1.1保存在表项中，获得IP探测信息表。

作为本申请一种具体的实施例，首先，读取初始IP探测信息表。然后，确认初始IP探测信息表的表项中不存在被探测内网主机的IP地址，则创建新表项；将被探测内网主机的IP地址保存在新表项中，获得IP探测信息表。

也就是说，在获取被探测内网主机的IP地址和探测源的IP地址之后，获取包括历史数据的初始IP探测信息表(如表1所示)，或者仅含有表头的空白表(如表2所示)。在获取初始IP探测信息表之后，查找初始IP探测信息表中是否存在当前的探测源的IP地址，以及与探测源的IP地址所对应的被探测内网主机的IP地址，若不存在，则建立新表项，将被探测内网主机的IP地址保存相对应的新表项中，获得IP探测信息表。

例如：初始IP探测信息表不存在探测源的IP地址202.112.14.1，则建立新表项将探测源的IP地址202.112.14.1和被探测内网主机的IP地址192.1.1.1保存在新表项中，获得IP探测信息表。

步骤三：确认IP探测信息表中的多个被探测内网主机的IP地址是连续的。

遍历IP探测信息表，在确认同一探测源的IP地址对应的多个被探测内网主机的IP地址是连续的情况下，则确认探测源为漏洞扫描源，并且执行S220阻断探测源对被探测内网对象的访问操作。

因此，本申请实施例通过将被探测源探测的内网主主机的IP地址，记录在IP探测信息表中，能够明确得知探测源访问IP地址的行为，从而通过探测源访问的IP地址是否连续，来判断探测源是否为漏洞扫描源，进而对探测源的探测行为进行阻断。

在本申请的一些实施方式中，确认探测源存在对同一被探测内网主机IP地址的多个连续端口号探测行为的过程如下：

步骤一：获取探测请求信息包括的探测源的IP地址、被探测内网主机的IP地址和端口号。

步骤二：根据被探测内网主机的IP地址、探测源的IP地址和被探测内网主机的端口号，生成端口探测信息表，其中，端口探测信息表用于记录被探测源探测的被探测内网主主机的IP地址和端口号。

作为本申请的一种具体实施例，首先，读取初始端口探测信息表。然后，确认初始端口探测信息表的表项中存在被探测内网主机的IP地址和探测源的IP地址，则将端口号保存在所述表项中，获得端口探测信息表，其中，表项与端口号相对应。

也就是说，在获取被探测内网主机的IP地址、探测源的IP地址和端口号之后，获取包括历史数据的初始端口探测信息表(如表3所示)，或者仅含有表头的空白表(如表4所示)。

表3初始端口探测信息表(历史数据)

表4初始端口探测信息表(空白表)

探测源的IP地址	被探测内网主机的IP地址	端口号

在获取初始端口探测信息表之后，查找初始端口探测信息表中是否存在当前的探测源的IP地址，以及与探测源的IP地址所对应的被探测内网主机的IP地址和端口号，若存在，则将被探测内网主机的IP地址所对应的端口号保存相对应的表项中，获得端口探测信息表。

例如：获取的被探测内网主机的IP地址为192.1.1.1和探测源的IP地址为202.112.14.1，端口号为24，接着获取如表3所示的初始端口探测信息表，确认表3中存在探测源的IP地址202.112.14.1，并且在探测源的IP地址202.112.14.1所在的表项中，存在被探测内网主机的IP地址192.1.1.1，则将端口号24保存在表项中，获得端口探测信息表。

作为本申请的另一种实施例，首先，读取初始端口探测信息表。然后，确认初始端口探测信息表的表项中不存在被探测内网主机的IP地址和探测源的IP地址，则创建新表项；将端口号和被探测内网主机的IP地址保存在新表项中，获得端口探测信息表。

也就是说，在获取被探测内网主机的IP地址、探测源的IP地址和端口号之后，获取包括历史数据的初始端口探测信息表(如表3所示)，或者仅含有表头的空白表(如表4所示)。在获取初始端口探测信息表之后，查找初始端口探测信息表中是否存在当前的探测源的IP地址，以及与探测源的IP地址所对应的被探测内网主机的IP地址和端口号，若不存在，则建立新表项，将被探测内网主机的IP地址和端口号保存相对应的新表项中，获得端口探测信息表。

例如：初始端口探测信息表不存在探测源的IP地址202.112.14.1和端口号，则建立新表项将探测源的IP地址202.112.14.1、被探测内网主机的IP地址192.1.1.1和端口号24保存在新表项中，获得端口探测信息表。

步骤三：确认端口探测信息表中针对同一被探测内网主机的多个端口号是连续的。

遍历端口探测信息表，在确认同一探测源的IP地址和同一被探测内网主机的IP地址所对应的多个端口号是连续的情况下，则确认探测源为漏洞扫描源，并且执行S220阻断探测源对被探测内网对象的访问操作。

本申请的一些实施例通过确认探测源是否存在对某一主机上多个连续端口号的访问行为来识别风险探测源，即时阻断这些风险探测源对相应主机的访问扫描。

可以理解的是，对探测IP信息表和对探测端口信息表的建立以及遍历识别探测源行为的过程，可以是同步的，并且只要在任一信息表发现探测源存在漏洞扫描行为，则判断探测源为漏洞扫描源。若通过探测IP信息表和探测端口信息表，均确认探测源存在漏洞扫描行为，也会判断探测源为漏洞扫描源。

需要说明的是，被探测内网主机的IP地址是探测源通过网络控制报文协议ICMP发送的。端口号是探测源通过传输控制协议TCP的同步序列编号SYN数据包发送的。本申请实施例不限于此。

与相关技术中为了防御漏洞扫描行为需要知道每台内网主机服务端口的技术方案不同，本申请实施例通过统计探测源的扫描行为即时发现正在进行异常探测的探测源进而阻断探测过程，可以有效避免像现有技术的方案需要对内网主机服务端口的依赖且通过本申请实施例的技术方案还可以减低被探测内网对象的风险，进而提高效率，降低运维难度。

上文描述了安全设备识别漏洞扫描的实施流程，下文将描述安全设备识别漏洞扫描的具体实施例。

如图3所示，作为本申请多种场景中的一种，通过探测内网主机的IP地址识别漏洞扫描的具体实施例如下：

首先，执行S301获取探测源发送的被探测内网主机的IP地址和探测源的IP地址，之后根据预先设定的需要防护的内网主机范围，判断S302被探测内网主机的IP地址是否为防护主机范围，若是执行S304，若不是，执行S303不作记录。

接着，执行S304是否在初始IP探测信息表里查找到被探测内网主机的IP地址。具体的，获取初始IP探测信息表，其中包含的表项有两项，分别是探测源的IP地址(一个)和被探测内网主机的IP地址(多个)，电子设备在收到探测源发送的ICMP请求包，确认被探测内网主机的IP地址为防护主机范围之后，在初始IP探测信息表中的被探测内网主机的IP地址中，查找获取的ICMP请求包中的被探测内网主机的IP地址，若查找到，则执行S305，将被探测内网主机的IP地址记录在相对应的表项中，获得IP探测信息表，若没有查找到则执行S306建立新表项，之后执行S307将被探测内网主机的IP地址记录在新表项中，获得IP探测信息表。

其中，探测源的IP地址为ICMP请求报文源的IP地址，被探测内网主机的IP地址为ICMP请求包中，探测源访问的目标主机的IP地址。

然后，周期性的执行S308遍历IP探测信息表，之后执行S309确认IP探测信息表中的多个被探测内网主机的IP地址是连续的。具体的，周期性遍历IP探测信息表，如果同一探测源的IP地址项对应的被探测内网主机的IP地址存在M个IP是连续的，则该探测源的IP地址为漏洞扫描IP，其中，M为大于1的正整数，并且由相关人员根据实际情况进行设定。

最后，执行S310阻断探测源对被探测内网主机的访问操作。具体的，在确定探测源的IP地址为漏洞扫描IP之后，根据探测源的IP地址对探测源的访问操作进行阻断。

如图4所示，作为本申请多种场景中的一种，通过探测内网主机的IP地址和端口号识别漏洞扫描的具体实施例如下：

首先，执行S401获取探测源发送的探测源的IP地址、被探测内网主机的IP地址和端口号，之后根据预先设定的需要防护的内网主机范围，判断S402被探测内网主机的IP地址是否为防护主机范围，若是执行S403，若不是，执行S404不作记录。

接着，执行S404是否在初始端口探测信息表里找到被探测内网主机的IP地址和端口号。具体的，获取初始端口探测信息表，其中包含的表项有三项，分别是探测源的IP地址(一个)、被探测内网主机的IP地址(一个个)和端口号(多个)，电子设备在收到探测源发送的TCP协议的SYN包，确认被探测内网主机的IP地址为防护主机范围之后，在初始端口探测信息表中查找探测源的IP地址、被探测内网主机的IP地址和TCP请求包中的被探测内网主机的IP地址一致的表项，若查找到，则执行S405，将被探测内网主机的IP地址和端口号记录在相对应的表项中，获得端口探测信息表，若没有查找到则执行S406建立新表项，之后执行S407将被探测内网主机的IP地址和端口号记录在新表项中，获得端口探测信息表，其中，在记录被探测内网主机的IP地址和端口号的过程中，还会记录相对应的探测源的IP地址。

其中，探测源的IP地址为TCP请求报文源的IP地址，被探测内网主机的IP地址为TCP请求包中，探测源访问的目标主机的IP地址，端口号记录在相对应的端口号的表项中。

然后，周期性的执行S408遍历端口探测信息表，之后执行S409确认端口探测信息表中针对同一被探测内网主机的多个端口号是连续的。具体的，周期性遍历端口探测信息表，如果同一被探测内网主机的多个端口号存在N个端口号是连续的，则相对应探测源的IP地址为漏洞扫描IP，其中，N为大于1的正整数，并且由相关人员根据实际情况进行设定。

最后，执行S410阻断探测源对被探测内网主机的端口的访问操作。具体的，在确定探测源的IP地址为漏洞扫描IP之后，根据探测源的IP地址对探测源的访问操作进行阻断。

可以理解的是，作为本申请的一个具体实施例，若存在第一内网主机和第二内网主机，分别对应3个端口，那么，在识别过程中，可以首先识别第一内网主机的第一端口，第二内网主机的第一端口，之后识别第一内网主机的第二端口和第二内网主机的第二端口。作为本申请的另一个具体实施例，在识别过程中，可以先识别第一内网主机的第一端口和第二端口，再识别第二内网主机的第一端口和第二端口。

因此，本申请实施例通过对IP探测信息表和端口探测信息表的分析，能够快速准确的判断探测源的漏洞扫描行为，为攻击阻断提供判断依据，实现在探测请求信息到达被探测内网对象之前进行阻断，降低被探测内网对象的风险，无需掌握被探测内网对象的端口信息，提高识别效率，降低运维难度。

上文描述了一种识别漏洞扫描的方法的具体实施例，下文将描述一种识别漏洞扫描的装置。

如图5所示，一种识别漏洞扫描的装置500，包括：探测行为确认模块510和扫描阻断模块520。

在本申请的一些实施方式中，提供了一种识别漏洞扫描的装置500，装置包括：探测行为确认模块510，被配置为若确认探测源存在对多个连续网络参数值的探测行为时，则确认探测源为漏洞扫描源，其中，网络参数值是与被探测内网对象相关的值；扫描阻断模块520，被配置为阻断探测源对被探测内网对象的访问操作。

在本申请的一些实施方式中，探测行为是通过遍历针对探测源建立的探测信息表确认的。

在本申请的一些实施方式中，探测行为确认模块510还被配置为：获取探测源发送的探测请求信息，其中，探测请求信息包括网络参数值和探测源的IP地址；根据探测请求信息生成探测信息表，其中，探测信息表用于记录被探测源探测的网络参数值；确认探测信息表中的多个网络参数值是连续的。

在本申请的一些实施方式中，探测行为确认模块510还被配置为：获取探测请求信息包括的被探测内网主机的IP地址和探测源的IP地址；根据被探测内网主机的IP地址和探测源的IP地址，生成IP探测信息表，其中，IP探测信息表用于记录被探测源探测的内网主主机的IP地址；确认IP探测信息表中的多个被探测内网主机的IP地址是连续的。

在本申请的一些实施方式中，探测行为确认模块510还被配置为：读取初始IP探测信息表；确认初始IP探测信息表的表项中存在被探测内网主机的IP地址，则将被探测内网主机的IP地址保存在表项中，获得IP探测信息表，其中，表项与被探测内网主机的IP地址相对应；或者，确认初始IP探测信息表的表项中不存在被探测内网主机的IP地址，则创建新表项；将被探测内网主机的IP地址保存在新表项中，获得IP探测信息表。

在本申请的一些实施方式中，探测行为确认模块510还被配置为：获取探测请求信息包括的探测源的IP地址、被探测内网主机的IP地址和端口号；根据被探测内网主机的IP地址、探测源的IP地址和被探测内网主机的端口号，生成端口探测信息表，其中，端口探测信息表用于记录被探测源探测的被探测内网主主机的IP地址和端口号；确认端口探测信息表中针对同一被探测内网主机的多个端口号是连续的。

在本申请的一些实施方式中，探测行为确认模块510还被配置为：读取初始端口探测信息表；确认初始端口探测信息表的表项中存在被探测内网主机的IP地址和探测源的IP地址，则将端口号保存在表项中，获得端口探测信息表，其中，表项与端口号相对应；或者，确认初始端口探测信息表的表项中不存在被探测内网主机的IP地址和探测源的IP地址，则创建新表项；将端口号和被探测内网主机的IP地址保存在新表项中，获得端口探测信息表。

在本申请的一些实施方式中，探测行为确认模块510还被配置为：获取防护IP集合，其中，防护IP集合为需要防护的IP地址集合；确认防护IP集合中包括被探测内网主机的IP地址。

在本申请的一些实施方式中，被探测内网主机的IP地址是探测源通过网络控制报文协议(Internet ControlMessage Protocol，ICMP)发送的。

在本申请的一些实施方式中，端口号是探测源通过传输控制协议(TransmissionControl Protocol，TCP)的同步序列编号(Synchronize Sequence Numbers，SYN)数据包发送的。

在本申请实施例中，图5所示模块能够实现图1、图2、图3和图4方法实施例中的各个过程。图5中的各个模块的操作和/或功能，分别为了实现图1、图2、图3和图4中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详细描述。

如图6所示，本申请实施例提供一种电子设备600，包括：处理器610、存储器620和总线630，所述处理器通过所述总线与所述存储器相连，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，用于实现如上述所有实施例中任一项所述的方法，具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详细描述。

其中，总线用于实现这些组件直接的连接通信。其中，本申请实施例中处理器可以是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(CentralProcessing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器可以是，但不限于，随机存取存储器(RandomAccess Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。存储器中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，可以执行上述实施例中所述的方法。

可以理解，图6所示的结构仅为示意，还可包括比图6中所示更多或者更少的组件，或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被服务器执行时实现上述所有实施方式中任一所述的方法，具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详细描述。

本申请实施例还提供一种网关设备，用于实现上述所有实施方式中任一所述的方法，具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详细描述。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (14)

1.一种识别漏洞扫描的方法，其特征在于，所述方法包括：

若确认探测源存在对多个连续网络参数值的探测行为时，则确认所述探测源为漏洞扫描源，其中，所述网络参数值是与被探测内网对象相关的值；

阻断所述探测源对所述被探测内网对象的访问操作。

2.根据权利要求1所述的方法，其特征在于，所述探测行为是通过遍历针对所述探测源建立的探测信息表确认的。

3.根据权利要求1所述的方法，其特征在于，所述确认探测源存在对多个连续网络参数值的探测行为，包括：

获取所述探测源发送的探测请求信息，其中，所述探测请求信息包括所述网络参数值和所述探测源的IP地址；

根据所述探测请求信息生成探测信息表，其中，所述探测信息表用于记录被所述探测源探测的所述网络参数值；

确认所述探测信息表中的多个网络参数值是连续的。

4.根据权利要求3所述的方法，其特征在于，

所述获取所述探测源发送的探测请求信息，包括：

获取所述探测请求信息包括的被探测内网主机的IP地址和所述探测源的IP地址；

所述根据所述探测请求信息生成探测信息表，包括：

根据所述被探测内网主机的IP地址和所述探测源的IP地址，生成IP探测信息表，其中，所述IP探测信息表用于记录所述被探测内网主机的IP地址；

所述确认所述探测信息表中的多个网络参数值是连续的，包括：

确认所述IP探测信息表中的多个被探测内网主机的IP地址是连续的。

5.根据权利要求4所述的方法，其特征在于，所述根据所述被探测内网主机的IP地址和所述探测源的IP地址，生成IP探测信息表，包括：

读取初始IP探测信息表；

确认所述初始IP探测信息表的表项中存在所述被探测内网主机的IP地址，则将所述被探测内网主机的IP地址保存在所述表项中，获得所述IP探测信息表，其中，所述表项与所述被探测内网主机的IP地址相对应；或者，确认所述初始IP探测信息表的表项中不存在所述被探测内网主机的IP地址，则创建新表项；将所述被探测内网主机的IP地址保存在所述新表项中，获得所述IP探测信息表。

6.根据权利要求3所述的方法，其特征在于，

所述获取所述探测源发送的探测请求信息，包括：

获取所述探测请求信息包括的所述探测源的IP地址、被探测内网主机的IP地址和端口号；

所述根据所述探测请求信息生成探测信息表，包括：

根据所述被探测内网主机的IP地址、所述探测源的IP地址和所述被探测内网主机的端口号，生成端口探测信息表，其中，所述端口探测信息表用于记录被所述探测源探测的所述被探测内网主机的IP地址和端口号；

所述确认所述探测信息表中的多个网络参数值是连续的，包括：

确认所述端口探测信息表中针对同一被探测内网主机的多个端口号是连续的。

7.根据权利要求6所述的方法，其特征在于，根据所述被探测内网主机的IP地址、所述探测源的IP地址和所述被探测内网主机的端口号，生成端口探测信息表，包括：

读取初始端口探测信息表；

确认所述初始端口探测信息表的表项中存在所述被探测内网主机的IP地址和所述探测源的IP地址，则将所述端口号保存在所述表项中，获得所述端口探测信息表，其中，所述表项与所述端口号相对应；或者，确认所述初始端口探测信息表的表项中不存在所述被探测内网主机的IP地址和所述探测源的IP地址，则创建新表项；将所述端口号和所述被探测内网主机的IP地址保存在所述新表项中，获得所述端口探测信息表。

8.根据权利要求3所述的方法，其特征在于，在所述根据所述探测请求信息生成探测信息表之前，所述方法还包括：

获取防护IP集合，其中，所述防护IP集合为需要防护的IP地址集合；

确认所述防护IP集合中包括被探测内网主机的IP地址。

9.根据权利要求1-8任一项所述的方法，其特征在于，被探测内网主机的IP地址是由所述探测源通过网络控制报文协议ICMP发送的。

10.根据权利要求1-8任一项所述的方法，其特征在于，端口号是由所述探测源通过传输控制协议TCP的同步序列SYN数据包发送的。

11.一种网关设备，其特征在于，所述网关设备用于实现如权利要求1-10任一项所述的识别漏洞扫描的方法。

12.一种识别漏洞扫描的装置，其特征在于，所述装置包括：

探测行为确认模块，被配置为若确认探测源存在对多个连续网络参数值的探测行为时，则确认所述探测源为漏洞扫描源，其中，所述网络参数值是与被探测内网对象相关的值；

扫描阻断模块，被配置为阻断所述探测源对所述被探测内网对象的访问操作。

13.一种电子设备，其特征在于，包括：处理器、存储器和总线；

所述处理器通过所述总线与所述存储器相连，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，用于实现如权利要求1-10任一项所述方法。

14.一种计算机可读存储介质，其特征在于，该计算机可读存储介质上存储有计算机程序，该计算机程序被执行时实现如权利要求1-10任一项所述方法。

Images