CN114301668B - 流量检测方法及装置、电子设备和计算机可读存储介质 - Google Patents
流量检测方法及装置、电子设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN114301668B CN114301668B CN202111622578.7A CN202111622578A CN114301668B CN 114301668 B CN114301668 B CN 114301668B CN 202111622578 A CN202111622578 A CN 202111622578A CN 114301668 B CN114301668 B CN 114301668B
- Authority
- CN
- China
- Prior art keywords
- dimension information
- target
- weight
- target flow
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种流量检测方法及装置、电子设备和计算机可读存储介质,应用于网络安全技术领域,该方法包括:获取目标流量的第一维度信息、第二维度信息和第三维度信息;确定所述目标流量中具有相同所述第一维度信息的数据包数量;基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度;在所述置信度大于或等于预定阈值时,确定所述目标流量为端口扫描攻击流量。通过本发明的技术方案,可及时有效地识别目标流量是否为端口扫描攻击流量,便于在识别出端口扫描攻击流量时及时应对,提升网络安全。
Description
【技术领域】
本发明涉及网络安全技术领域,尤其涉及一种流量检测方法及装置、电子设备和计算机可读存储介质。
【背景技术】
互联网中存在着大量因端口扫描攻击而产生的流量,端口扫描攻击是渗透攻击的准备阶段,攻击者通过检测网络中的开放端口,针对开放端口提供的服务进行渗透,以便进行非法操作。另外,端口扫描攻击会占用大量的带宽,消耗大量的网络资源,严重影响网络的正常运行。
因此,如何减少端口扫描攻击对网络的负面影响,成为目前亟待解决的技术问题。
【发明内容】
本发明实施例提供了一种流量检测方法及装置、电子设备和计算机可读存储介质,旨在解决相关技术中端口扫描攻击对网络的负面影响过大的技术问题。
第一方面,本发明实施例提供了一种流量检测方法,包括:获取目标流量的第一维度信息、第二维度信息和第三维度信息,其中,所述第一维度信息包括所述目标流量的五元组,所述第二维度信息包括所述目标流量的发包开始时间和发包结束时间,所述第三维度信息包括所述目标流量的固定关键字、浮动关键字、关键荷载信息、用户ID和APP ID;确定所述目标流量中具有相同所述第一维度信息的数据包数量;基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度;在所述置信度大于或等于预定阈值时,确定所述目标流量为端口扫描攻击流量。
在本发明上述实施例中,可选地,还包括:获取所述目标流量的第四维度信息,所述第四维度信息包括所述目标流量在物理空间中的源地址信息和目的地址信息;则在确定所述目标流量为端口扫描攻击流量的步骤之后,还包括:基于所述第四维度信息,确定生成所述目标流量的攻击源的物理地址。
在本发明上述实施例中,可选地,所述获取目标流量的第一维度信息、第二维度信息和第三维度信息的步骤,包括:从传输所述目标流量的网络层获取所述第一维度信息;以及将所述目标流量中第一个数据包的发送时间设置为所述第二维度信息中的发包开始时间,将所述目标流量中最后一个数据包的发送时间设置为所述第二维度信息中的发包结束时间;以及从传输所述目标流量的传输层和应用层获取所述第三维度信息。
在本发明上述实施例中,可选地,所述基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度的步骤,包括:对于所述目标流量中具有相同所述第一维度信息的数据包数量,将所述数据包数量所属的数量区间所对应的预设权重设置为第一权重;在所述目标流量的所述第一权重大于或等于预定权重时,确定所述目标流量中目的IP对应的目的端口分布范围;基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重;基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度。
在本发明上述实施例中,可选地,所述确定所述目标流量中目的IP对应的目的端口分布范围的步骤,包括:确定所述目标流量中任一所述目的IP对应的目的端口分布范围;所述基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重的步骤,包括:将所述目的端口分布范围所属的分布范围区间所对应的预设权重设置为所述第二权重。
在本发明上述实施例中,可选地,所述确定所述目标流量中目的IP对应的目的端口分布范围的步骤,包括:确定所述目标流量中每个所述目的IP对应的目的端口分布范围;所述基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重的步骤,包括:若所述目的端口分布范围属于目标分布范围的所述目的IP的数量达到目标数量,将所述目标分布范围所对应的预设权重设置为所述第二权重。
在本发明上述实施例中,可选地,所述基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度的步骤,包括:以所述第一权重和所述第二权重的和作为所述目标流量为端口扫描攻击流量的置信度;或者基于所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的权重,计算所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的子置信度;以所述第一维度信息的子置信度作为所述第一权重的加权系数,以所述第二维度信息的子置信度和所述第三维度信息的子置信度的均值作为所述第二权重的加权系数,对所述第一权重和所述第二权重加权求和,得到所述目标流量为端口扫描攻击流量的置信度。
第二方面,本发明实施例提供了一种流量检测装置,包括:维度信息获取单元,用于获取目标流量的第一维度信息、第二维度信息和第三维度信息,其中,所述第一维度信息包括所述目标流量的五元组,所述第二维度信息包括所述目标流量的发包开始时间和发包结束时间,所述第三维度信息包括所述目标流量的固定关键字、浮动关键字、关键荷载信息、用户ID和APP ID;数据包数量确定单元,用于确定所述目标流量中具有相同所述第一维度信息的数据包数量;置信度确定单元,用于基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度;端口扫描判定单元,用于在所述置信度大于或等于预定阈值时,确定所述目标流量为端口扫描攻击流量。
在本发明上述实施例中,可选地,还包括:维度信息附加获取单元,用于获取所述目标流量的第四维度信息,所述第四维度信息包括所述目标流量在物理空间中的源地址信息和目的地址信息;物理地址确定单元,用于基于所述第四维度信息,确定生成所述目标流量的攻击源的物理地址。
在本发明上述实施例中,可选地,所述维度信息获取单元用于:从传输所述目标流量的网络层获取所述第一维度信息;以及将所述目标流量中第一个数据包的发送时间设置为所述第二维度信息中的发包开始时间,将所述目标流量中最后一个数据包的发送时间设置为所述第二维度信息中的发包结束时间;以及从传输所述目标流量的传输层和应用层获取所述第三维度信息。
在本发明上述实施例中,可选地,所述置信度确定单元用于:第一权重计算单元,用于对于所述目标流量中具有相同所述第一维度信息的数据包数量,将所述数据包数量所属的数量区间所对应的预设权重设置为第一权重;第二权重计算单元,用于在所述目标流量的所述第一权重大于或等于预定权重时,确定所述目标流量中目的IP对应的目的端口分布范围,并基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重;执行单元,用于基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度。
在本发明上述实施例中,可选地,所述第二权重计算单元用于:确定所述目标流量中任一所述目的IP对应的目的端口分布范围;将所述目的端口分布范围所属的分布范围区间所对应的预设权重设置为所述第二权重。
在本发明上述实施例中,可选地,所述第二权重计算单元用于:确定所述目标流量中每个所述目的IP对应的目的端口分布范围;若所述目的端口分布范围属于目标分布范围的所述目的IP的数量达到目标数量,将所述目标分布范围所对应的预设权重设置为所述第二权重。
在本发明上述实施例中,可选地,所述执行单元用于:以所述第一权重和所述第二权重的和作为所述目标流量为端口扫描攻击流量的置信度;或者基于所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的权重,计算所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的子置信度;以所述第一维度信息的子置信度作为所述第一权重的加权系数,以所述第二维度信息的子置信度和所述第三维度信息的子置信度的均值作为所述第二权重的加权系数,对所述第一权重和所述第二权重加权求和,得到所述目标流量为端口扫描攻击流量的置信度。
第三方面,本发明实施例提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述第一方面中任一项所述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述第一方面中任一项所述的方法流程。
以上技术方案,针对相关技术中端口扫描攻击对网络的负面影响过大的技术问题,可结合所述目标流量的第一维度信息、第二维度信息和第三维度信息共同判断目标流量是否为端口扫描攻击流量,相对于相关技术中通过五元组判断判断目标流量是否为端口扫描攻击流量的方式,由于这一判断过程增加了多种信息维度,大大增加了判断结果的可靠性,有助于及时有效地识别目标流量是否为端口扫描攻击流量,便于在识别出端口扫描攻击流量时及时应对,提升网络安全。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出了根据本发明的一个实施例的流量检测方法的流程图;
图2示出了根据本发明的一个实施例的流量检测装置的框图;
图3示出了根据本发明的一个实施例的电子设备的框图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
图1示出了根据本发明的一个实施例的流量检测方法的流程图。
如图1所示,根据本发明的一个实施例的流量检测方法的流程包括:
步骤102,获取目标流量的第一维度信息、第二维度信息和第三维度信息。
其中,所述第一维度信息包括所述目标流量的五元组。第一维度信息中,目标流量的五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议,用于区分不同会话,且该会话唯一,例如:192.168.1.1 10000 TCP 121.14.88.76 80就构成了一个五元组,其意义是,一个源IP地址为192.168.1.1的电子设备通过源端口10000,利用TCP协议,和目的IP地址为121.14.88.76、目的端口为80的电子设备进行连接。具体地,可从传输所述目标流量的网络层获取所述第一维度信息。
基于五元组进行连接后,电子设备之间会进行通信,产生目标流量,此时,第二维度信息包括通信过程中目标流量的发包开始时间和发包结束时间,用于表示目标流量的起始时间。具体地,可将所述目标流量中第一个数据包的发送时间设置为所述第二维度信息中的发包开始时间,将所述目标流量中最后一个数据包的发送时间设置为所述第二维度信息中的发包结束时间。
所述第三维度信息包括所述目标流量的固定关键字、浮动关键字、关键荷载信息、用户ID和APP ID,其中,所述目标流量的固定关键字指的是针对固定端口的流量所包含的关键字,所述目标流量的浮动关键字指的是针对非固定端口的流量所包含的关键字,关键荷载信息则包括目标流量所传输的内容,用户ID和APP ID分别为目标流量所传输的内容所针对的服务中的目标用户和目标APP。具体地,可从传输所述目标流量的传输层和应用层获取所述第三维度信息。
步骤104,确定所述目标流量中具有相同所述第一维度信息的数据包数量。
换言之,即确定所述目标流量中具有相同五元组的数据包数量,该数据包数量可在后续步骤中用于确定所述目标流量为端口扫描攻击流量的可能性。
步骤106,基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度。
由于所述数据包数量、所述第二维度信息和所述第三维度信息各自在一定程度上反映了所述目标流量的流量内容和大小等实际情况,故通过对三者进行分析,可有效判断所述目标流量是否为端口扫描攻击流量。
在一种可能的设计中,确定所述目标流量为端口扫描攻击流量的置信度的具体步骤包括:对于所述目标流量中具有相同所述第一维度信息的数据包数量,将所述数据包数量所属的数量区间所对应的预设权重设置为第一权重;在所述目标流量的所述第一权重大于或等于预定权重时,确定所述目标流量中目的IP对应的目的端口分布范围;基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重;基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度。
由于所述目标流量是在一定的时间段内产生的,其中具有相同五元组的数据包数量越多,说明目标流量中针对同一目的端口所发送的流量越多、越密集,目标流量针对同一目的端口循环进行扫描攻击的可能性也就越大。由此,可基于该数据包数量为所述目标流量设置第一权重,以第一权重反映目标流量针对同一目的端口循环进行扫描攻击的可能性,其中,目标流量中具有相同五元组的数据包数量与所述第一权重正相关。
为所述目标流量设置第一权重的步骤,具体地,可为数据包数量划分多个数量区间,并为每个数量区间设置对应的预设权重,数据包数量越多,其所属的数量区间设置对应的预设权重越大。
接下来,若所述目标流量的所述第一权重足够大,则说明目标流量针对同一目的端口循环进行扫描攻击的可能性足够高,目标流量很可能包括端口扫描攻击流量,此时,能够以所述目标流量中目的IP对应的目的端口分布范围作为另一重判断条件,判断目标流量发送数据的相同目的端口数量是否足够高。
其中,可设置预定权重,预定权重用于表示目标流量针对同一目的端口循环进行扫描攻击的可能性足够高时所述目标流量的最低第一权重,那么,在所述目标流量的所述第一权重大于或等于预定权重时,可确定所述目标流量中目的IP对应的目的端口分布范围。
所述目标流量中目的IP对应的目的端口分布范围,用于标识目标流量发送数据的相同目的端口的分布情况,这些相同目的端口分布范围越大,覆盖的端口号范围越广,在一定程度上可表示目标流量发送数据所针对的相同目的端口数量越多,分布越广。若一定时段内产生的目标流量发送数据的相同目的端口数量过大分布过广,说明该目标流量很可能是随机针对大量端口进行流量扫描攻击的。
对此,可基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重,该第二权重用于反映目标流量针对大量目的端口进行流量扫描攻击的可能性。
其中,设置所述第二权重的步骤,具体包括:确定所述目标流量中任一所述目的IP对应的目的端口分布范围;将所述目的端口分布范围所属的分布范围区间所对应的预设权重设置为所述第二权重。
即可划分多种分布范围区间,多种分布范围区间可覆盖目的端口全部可能的分布范围,一旦确定目的端口分布范围属于某一分布范围区间,即可将该分布范围区间对应的预设权重设置为所述第二权重。
综上,所述第一权重和所述第二权重均能够反映所述目标流量为端口扫描攻击流量的可能性,故可基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度,以便通过该置信度判断所述目标流量究竟是否为端口扫描攻击流量。
步骤108,在所述置信度大于或等于预定阈值时,确定所述目标流量为端口扫描攻击流量。
预定阈值指的是所述目标流量为端口扫描攻击流量时的最低置信度,若所述置信度大于或等于预定阈值,则可判断所述目标流量为端口扫描攻击流量。
在一种可能的设计中,以所述第一权重和所述第二权重的和作为所述目标流量为端口扫描攻击流量的置信度。由于所述第一权重和所述第二权重均能够反映所述目标流量为端口扫描攻击流量的可能性,故可直接以两者和的大小表示所述目标流量为端口扫描攻击流量的可能性。
在另一种可能的设计中,可基于所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的权重,计算所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的子置信度。由于第一维度信息、第二维度信息和第三维度信息各自在一定程度上反映了所述目标流量的流量内容和大小等实际情况,故三者对应的权重可在一定程度上反映所述标流量是否为端口扫描攻击流量,对此,可以利用三者对应的权重计算对应的子置信度。
接着,以所述第一维度信息的子置信度作为所述第一权重的加权系数,以所述第二维度信息的子置信度和所述第三维度信息的子置信度的均值作为所述第二权重的加权系数,对所述第一权重和所述第二权重加权求和,得到所述目标流量为端口扫描攻击流量的置信度。
至此,可结合所述目标流量的第一维度信息、第二维度信息和第三维度信息共同判断目标流量是否为端口扫描攻击流量,相对于相关技术中通过五元组判断判断目标流量是否为端口扫描攻击流量的方式,为这一判断过程增加了多种信息维度,大大增加了判断结果的可靠性,有助于及时有效地识别目标流量是否为端口扫描攻击流量,便于在识别出端口扫描攻击流量时及时应对,提升网络安全。
另外,在步骤108之后,还包括:获取所述目标流量的第四维度信息,所述第四维度信息包括所述目标流量在物理空间中的源地址信息和目的地址信息;则在确定所述目标流量为端口扫描攻击流量的步骤之后,还包括:基于所述第四维度信息,确定生成所述目标流量的攻击源的物理地址。
由此,可基于目标流量在物理空间中的源地址信息和目的地址信息对目标流量进行溯源,及时准确地定位攻击者,便于在识别出端口扫描攻击流量时及时应对,提升网络安全。
图2示出了根据本发明的一个实施例的流量检测装置的框图;
如图2所示,根据本发明的一个实施例的流量检测装置200包括:维度信息获取单元202,用于获取目标流量的第一维度信息、第二维度信息和第三维度信息,其中,所述第一维度信息包括所述目标流量的五元组,所述第二维度信息包括所述目标流量的发包开始时间和发包结束时间,所述第三维度信息包括所述目标流量的固定关键字、浮动关键字、关键荷载信息、用户ID和APP ID;数据包数量确定单元204,用于确定所述目标流量中具有相同所述第一维度信息的数据包数量;置信度确定单元206,用于基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度;端口扫描判定单元208,用于在所述置信度大于或等于预定阈值时,确定所述目标流量为端口扫描攻击流量。
在本发明上述实施例中,可选地,还包括:维度信息附加获取单元,用于获取所述目标流量的第四维度信息,所述第四维度信息包括所述目标流量在物理空间中的源地址信息和目的地址信息;物理地址确定单元,用于基于所述第四维度信息,确定生成所述目标流量的攻击源的物理地址。
在本发明上述实施例中,可选地,所述维度信息获取单元202用于:从传输所述目标流量的网络层获取所述第一维度信息;以及将所述目标流量中第一个数据包的发送时间设置为所述第二维度信息中的发包开始时间,将所述目标流量中最后一个数据包的发送时间设置为所述第二维度信息中的发包结束时间;以及从传输所述目标流量的传输层和应用层获取所述第三维度信息。
在本发明上述实施例中,可选地,所述置信度确定单元206用于:第一权重计算单元,用于对于所述目标流量中具有相同所述第一维度信息的数据包数量,将所述数据包数量所属的数量区间所对应的预设权重设置为第一权重;第二权重计算单元,用于在所述目标流量的所述第一权重大于或等于预定权重时,确定所述目标流量中目的IP对应的目的端口分布范围,并基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重;执行单元,用于基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度。
在本发明上述实施例中,可选地,所述第二权重计算单元用于:确定所述目标流量中任一所述目的IP对应的目的端口分布范围;将所述目的端口分布范围所属的分布范围区间所对应的预设权重设置为所述第二权重。
在本发明上述实施例中,可选地,所述第二权重计算单元用于:确定所述目标流量中每个所述目的IP对应的目的端口分布范围;若所述目的端口分布范围属于目标分布范围的所述目的IP的数量达到目标数量,将所述目标分布范围所对应的预设权重设置为所述第二权重。
在本发明上述实施例中,可选地,所述执行单元用于:以所述第一权重和所述第二权重的和作为所述目标流量为端口扫描攻击流量的置信度;或者基于所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的权重,计算所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的子置信度;以所述第一维度信息的子置信度作为所述第一权重的加权系数,以所述第二维度信息的子置信度和所述第三维度信息的子置信度的均值作为所述第二权重的加权系数,对所述第一权重和所述第二权重加权求和,得到所述目标流量为端口扫描攻击流量的置信度。
该流量检测装置200使用上述实施例中任一项所述的方案,因此,具有上述所有技术效果,在此不再赘述。
图3示出了本发明的一个实施例的电子设备的框图。
如图3所示,本发明的一个实施例的电子设备300,包括至少一个存储器302;以及,与所述至少一个存储器302通信连接的处理器304;其中,所述存储器存储有可被所述至少一个处理器304执行的指令,所述指令被设置为用于执行上述任一实施例中所述的方案。因此,该电子设备300具有和上述任一实施例中相同的技术效果,在此不再赘述。
本发明实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置。
另外,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一实施例中所述的方法流程。
以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,可结合所述目标流量的第一维度信息、第二维度信息和第三维度信息共同判断目标流量是否为端口扫描攻击流量,相对于相关技术中通过五元组判断判断目标流量是否为端口扫描攻击流量的方式,为这一判断过程增加了多种信息维度,大大增加了判断结果的可靠性,有助于及时有效地识别目标流量是否为端口扫描攻击流量,便于在识别出端口扫描攻击流量时及时应对,提升网络安全。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述维度信息,但这些维度信息不应限于这些术语。这些术语仅用来将维度信息彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一维度信息也可以被称为第二维度信息,类似地,第二维度信息也可以被称为第一维度信息。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种流量检测方法,其特征在于,包括:
获取目标流量的第一维度信息、第二维度信息和第三维度信息,
其中,所述第一维度信息包括所述目标流量的五元组,所述第二维度信息包括所述目标流量的发包开始时间和发包结束时间,所述第三维度信息包括所述目标流量的固定关键字、浮动关键字、关键荷载信息、用户ID和APP ID;
确定所述目标流量中具有相同所述第一维度信息的数据包数量;
基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度;
在所述置信度大于或等于预定阈值时,确定所述目标流量为端口扫描攻击流量;
其中,所述基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度的步骤,包括:
对于所述目标流量中具有相同所述第一维度信息的数据包数量,将所述数据包数量所属的数量区间所对应的预设权重设置为第一权重;
在所述目标流量的所述第一权重大于或等于预定权重时,确定所述目标流量中目的IP对应的目的端口分布范围;
基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重;
基于所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的权重,计算所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的子置信度;
以所述第一维度信息的子置信度作为所述第一权重的加权系数,以所述第二维度信息的子置信度和所述第三维度信息的子置信度的均值作为所述第二权重的加权系数,对所述第一权重和所述第二权重加权求和,得到所述目标流量为端口扫描攻击流量的置信度。
2.根据权利要求1所述的流量检测方法,其特征在于,还包括:
获取所述目标流量的第四维度信息,所述第四维度信息包括所述目标流量在物理空间中的源地址信息和目的地址信息;
则在确定所述目标流量为端口扫描攻击流量的步骤之后,还包括:
基于所述第四维度信息,确定生成所述目标流量的攻击源的物理地址。
3.根据权利要求1所述的流量检测方法,其特征在于,所述获取目标流量的第一维度信息、第二维度信息和第三维度信息的步骤,包括:
从传输所述目标流量的网络层获取所述第一维度信息;以及
将所述目标流量中第一个数据包的发送时间设置为所述第二维度信息中的发包开始时间,将所述目标流量中最后一个数据包的发送时间设置为所述第二维度信息中的发包结束时间;以及
从传输所述目标流量的传输层和应用层获取所述第三维度信息。
4.根据权利要求1至3中任一项所述的流量检测方法,其特征在于,将所述基于所述数据包数量、所述第二维度信息和所述第三维度信息,确定所述目标流量为端口扫描攻击流量的置信度的步骤,替换为:
基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度。
5.根据权利要求4所述的流量检测方法,其特征在于,所述确定所述目标流量中目的IP对应的目的端口分布范围的步骤,包括:
确定所述目标流量中任一所述目的IP对应的目的端口分布范围;
所述基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重的步骤,包括:
将所述目的端口分布范围所属的分布范围区间所对应的预设权重设置为所述第二权重。
6.根据权利要求4所述的流量检测方法,其特征在于,所述确定所述目标流量中目的IP对应的目的端口分布范围的步骤,包括:
确定所述目标流量中每个所述目的IP对应的目的端口分布范围;
所述基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重的步骤,包括:
若所述目的端口分布范围属于目标分布范围的所述目的IP的数量达到目标数量,将所述目标分布范围所对应的预设权重设置为所述第二权重。
7.根据权利要求4所述的流量检测方法,其特征在于,所述基于所述第一权重和所述第二权重,确定所述目标流量为端口扫描攻击流量的置信度的步骤,包括:
以所述第一权重和所述第二权重的和作为所述目标流量为端口扫描攻击流量的置信度。
8.一种流量检测装置,其特征在于,包括:
维度信息获取单元,用于获取目标流量的第一维度信息、第二维度信息和第三维度信息,其中,所述第一维度信息包括所述目标流量的五元组,所述第二维度信息包括所述目标流量的发包开始时间和发包结束时间,所述第三维度信息包括所述目标流量的固定关键字、浮动关键字、关键荷载信息、用户ID和APP ID;
数据包数量确定单元,用于确定所述目标流量中具有相同所述第一维度信息的数据包数量;
置信度确定单元,用于基于所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的权重,计算所述目标流量的第一维度信息、第二维度信息和第三维度信息各自对应的子置信度;以所述第一维度信息的子置信度作为第一权重的加权系数,以所述第二维度信息的子置信度和所述第三维度信息的子置信度的均值作为第二权重的加权系数,对第一权重和第二权重加权求和,得到所述目标流量为端口扫描攻击流量的置信度;其中,对于所述目标流量中具有相同所述第一维度信息的数据包数量,将所述数据包数量所属的数量区间所对应的预设权重设置为第一权重;在所述目标流量的所述第一权重大于或等于预定权重时,确定所述目标流量中目的IP对应的目的端口分布范围,基于所述目标流量中所述目的IP对应的目的端口分布范围,为所述目标流量设置第二权重;
端口扫描判定单元,用于在所述置信度大于或等于预定阈值时,确定所述目标流量为端口扫描攻击流量。
9.一种电子设备,其特征在于,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1至7中任一项所述的方法流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111622578.7A CN114301668B (zh) | 2021-12-28 | 2021-12-28 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111622578.7A CN114301668B (zh) | 2021-12-28 | 2021-12-28 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301668A CN114301668A (zh) | 2022-04-08 |
| CN114301668B true CN114301668B (zh) | 2023-07-21 |
Family
ID=80969059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111622578.7A Active CN114301668B (zh) | 2021-12-28 | 2021-12-28 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301668B (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107623685B (zh) * | 2017-09-08 | 2020-04-07 | 杭州安恒信息技术股份有限公司 | 快速检测SYN Flood攻击的方法及装置 |
| US11070569B2 (en) * | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
| CN113678419B (zh) * | 2019-01-30 | 2023-06-23 | 帕洛阿尔托网络(以色列分析)有限公司 | 端口扫描检测 |
| CN110149343B (zh) * | 2019-05-31 | 2021-07-16 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
| CN111800391B (zh) * | 2020-06-12 | 2023-05-23 | 安天科技集团股份有限公司 | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
| CN113225342B (zh) * | 2021-05-08 | 2023-06-30 | 四川英得赛克科技有限公司 | 一种通信异常检测方法、装置、电子设备及存储介质 |
-
2021
- 2021-12-28 CN CN202111622578.7A patent/CN114301668B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301668A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108632227B (zh) | 一种恶意域名检测处理方法及装置 | |
| EP3481029A1 (en) | Internet defense method and authentication server | |
| CN109617852B (zh) | 基于流量分析的防网络沉迷方法和装置 | |
| CN113973012A (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| CN108449368A (zh) | 一种应用层攻击检测方法、装置和电子设备 | |
| CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| CN108600145A (zh) | 一种确定DDoS攻击设备的方法及装置 | |
| CN110248211B (zh) | 直播间消息限流方法、装置、电子设备及存储介质 | |
| CN114301668B (zh) | 流量检测方法及装置、电子设备和计算机可读存储介质 | |
| CN106790175A (zh) | 一种蠕虫事件的检测方法及装置 | |
| CN113242260A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| CN111478860A (zh) | 一种网络控制方法、装置、设备及机器可读存储介质 | |
| CN109241462B (zh) | 网页黑词处理方法、装置、设备及存储介质 | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN115225347B (zh) | 靶场资源监控的方法和装置 | |
| CN115987625A (zh) | 一种恶意流量检测方法、装置及电子设备 | |
| CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
| CN112190950B (zh) | 一种检测异常玩家账号的方法及装置 | |
| CN114338109B (zh) | 流量检测方法及装置、电子设备和计算机可读存储介质 | |
| CN109617925B (zh) | 一种针对网络攻击的防护、区间标记的设置方法及系统 | |
| CN114285621A (zh) | 一种网络威胁监测方法、装置及电子设备 | |
| CN111314165A (zh) | 一种游戏服务器确定方法、装置、服务器和介质 | |
| CN112787954A (zh) | 一种加密挖矿流量识别方法、系统、装置及存储介质 | |
| CN106357603A (zh) | 网页安全检测处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |