CN116015904A - 恶意扫描流量的阻断方法及装置 - Google Patents
恶意扫描流量的阻断方法及装置 Download PDFInfo
- Publication number
- CN116015904A CN116015904A CN202211706180.6A CN202211706180A CN116015904A CN 116015904 A CN116015904 A CN 116015904A CN 202211706180 A CN202211706180 A CN 202211706180A CN 116015904 A CN116015904 A CN 116015904A
- Authority
- CN
- China
- Prior art keywords
- scanning
- preset
- target data
- message
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络安全技术领域,提供一种恶意扫描流量的阻断方法及装置。所述方法包括:根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;其中,所述目标数据报文为进行端口扫描的数据报文。本申请实施例提供的恶意扫描流量的阻断方法,能够在提高对恶意端口扫描流量的阻断效率的同时,减少内存的占用。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种恶意扫描流量的阻断方法及装置。
背景技术
当前接入互联网的设备越来越多,恶意端口扫描流量也越来越普遍,是网络安全亟待解决的问题。为对恶意端口扫描流量进行阻断,相关技术中,可通过在内存中建立与多个源IP一一对应的多个节点,通过各节点来检测源IP的端口扫描流量,并由节点根据检测结果来对恶意的端口扫描流量进行阻断。而每个节点均会占用一定的内存,若需要提高对恶意端口扫描流量的阻断效率,则节点需要对源IP发送的用于进行端口扫描得到数据报文进行处理的进程就越多,导致节点运行时需要占用大量的内存,影响设备吞吐性能。因此,如何在提高对恶意端口扫描流量的阻断效率的同时,减少内存的占用,是当前急需解决的技术问题。
发明内容
本申请旨在至少解决相关技术中存在的技术问题之一。为此,本申请提出一种恶意扫描流量的阻断方法,能够在提高对恶意端口扫描流量的阻断效率的同时,减少内存的占用。
本申请还提出一种恶意扫描流量的阻断装置。
本申请还提出一种电子设备。
本申请还提出一种计算机可读存储介质。
根据本申请第一方面实施例的恶意扫描流量的阻断方法,包括:
根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
本申请实施例提供的恶意扫描流量的阻断方法,通过用于统计源IP地址发送的目标数据报文的初始节点,获取源IP地址在预设时段内对设备端口的扫描次数后,若该扫描次数超过预设次数,再将初始节点拓展为扫描行为节点,以利用扫描行为节点中记录的各预设报文类型,对源IP地址发送的目标数据报文进行阻断,从而在扫描次数为达到预设次数的阶段,仅通过初始节点进行数据报文的统计,此时节点无需占用太多内存。而只有在扫描次数超过预设次数时,才将初始节点拓展为包括预设报文类型的扫描行为节点进行数据报文数据报文的阻断检测,使节点无需从始至终进行大量内存的占用,进而在提高对恶意端口扫描流量的阻断效率的同时,减少内存的占用。
根据本申请的一个实施例,根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数,包括:
在接收到所述目标数据报文时,将所述目标数据报文扫描的设备端口的端口信息,作为一条日志信息记录至所述初始节点;
根据所述初始节点在第一预设时段内记录的日志信息数量,确定所述源IP地址在第一预设时段内对设备端口的扫描次数。
根据本申请的一个实施例,所述日志信息为bitmap格式。
根据本申请的一个实施例,还包括:
确定所述扫描次数未超过预设次数,删除所述初始节点,以释放所述初始节点占用的系统内存。
根据本申请的一个实施例,根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断,包括:
根据各所述预设报文类型,检测所述源IP地址发送的当前所述目标数据报文;
确定当前所述目标数据报文的报文类型,与任一所述预设报文类型相同,阻断当前所述目标数据报文。
根据本申请的一个实施例,还包括:
确定在第二预设时段内,接收到的各所述目标数据报文的报文类型,均与各所述预设报文类型中的目标报文类型不匹配,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;或,
确定在第二预设时段内,接收到报文类型与各所述预设报文类型中的目标报文类型不匹配的目标数据报文的数量达到预设阈值,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;
其中,所述目标报文类型为任一所述预设报文类型。
根据本申请的一个实施例,还包括:
确定所述扫描行为节点中的预设报文类型为空,将所述扫描行为节点转换为所述初始节点。
根据本申请第二方面实施例的恶意扫描流量的阻断装置,包括:
扫描流量统计模块,用于根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
恶意流量阻断模块,用于确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
根据本申请第三方面实施例的电子设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述计算机程序时实现上述任一实施例所述的恶意扫描流量的阻断方法。
根据本申请第四方面实施例的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的恶意扫描流量的阻断方法。
根据本申请第五方面实施例的计算机程序产品,包括:所述计算机程序被处理器执行时实现如上述任一实施例所述的恶意扫描流量的阻断方法。
本申请实施例中的上述一个或多个技术方案,至少具有如下技术效果之一:
通过用于统计源IP地址发送的目标数据报文的初始节点,获取源IP地址在预设时段内对设备端口的扫描次数后,若该扫描次数超过预设次数,再将初始节点拓展为扫描行为节点,以利用扫描行为节点中记录的各预设报文类型,对源IP地址发送的目标数据报文进行阻断,从而在扫描次数为达到预设次数的阶段,仅通过初始节点进行数据报文的统计,此时节点无需占用太多内存。而只有在扫描次数超过预设次数时,才将初始节点拓展为包括预设报文类型的扫描行为节点进行数据报文数据报文的阻断检测,使节点无需从始至终进行大量内存的占用,进而在提高对恶意端口扫描流量的阻断效率的同时,减少内存的占用。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的恶意扫描流量的阻断方法的流程示意图;
图2是对图1的恶意扫描流量的阻断方法中扫描次数的统计作进一步细化的流程图;
图3是对图1的恶意扫描流量的阻断方法中对数据报文的阻断作进一步细化的流程图;
图4是本申请实施例提供的恶意扫描流量的阻断装置的结构示意图;
图5是本申请实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面,将通过几个具体的实施例对本申请实施例提供的恶意扫描流量的阻断方法及装置进行详细介绍和说明。
在一实施例中,提供了一种恶意扫描流量的阻断方法,该方法应用于网络设备,用于对恶意扫描流量进行阻断。其中,网络设备可以是可以是用户终端、由多个用户终端形成的终端设备集群或服务器,用户终端可以是台式终端或便携式终端,如台式电脑、笔记本电脑等。服务器可以是独立的服务器或者是多个服务器组成的服务器集群来实现,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能采样点设备等基础云计算服务的云服务器。
如图1所示,本实施例提供的一种恶意扫描流量的阻断方法包括:
步骤101,根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
步骤102,确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
通过用于统计源IP地址发送的目标数据报文的初始节点,获取源IP地址在预设时段内对设备端口的扫描次数后,若该扫描次数超过预设次数,再将初始节点拓展为扫描行为节点,以利用扫描行为节点中记录的各预设报文类型,对源IP地址发送的目标数据报文进行阻断,从而在扫描次数为达到预设次数的阶段,仅通过初始节点进行数据报文的统计,此时节点无需占用太多内存。而只有在扫描次数超过预设次数时,才将初始节点拓展为包括预设报文类型的扫描行为节点进行数据报文数据报文的阻断检测,使节点无需从始至终进行大量内存的占用,进而在提高对恶意端口扫描流量的阻断效率的同时,减少内存的占用。
在一实施例中,网络设备预先建立有多个节点,各节点可以为占用一定内存的内存块或存储结构体。每个节点对应处理一个源IP地址发送的目标数据报文。其中,各节点对应的源IP地址,可以是预先设定,也可以是在首次接收到某个源IP地址发送的目标数据报文时随机分配。若首次接收到某个源IP地址发送的目标数据报文随机分配到某个节点,则将该源IP地址与该节点绑定,使得后续在接收到该源IP地址发送的目标数据报文时,将该源IP地址发送的目标数据报文分配给该节点进行处理,同时该节点只对该源IP地址发送的目标数据报文进行处理。
在接收到数据报文时,网络设备针对不同的数据报文类型,如针对TCP报文、UDP报文以及ICMP报文,来判断接收到的报文是否为目标数据报文。其中,对于TCP报文来说,若该TCP报文为connect扫描,即完成一次完整的三次握手时,或该TCP报文为SYN扫描,即设备端口收到的SUN数据帧时,该TCP报文为SYN扫描FIN扫描,即收到的FIN帧时,或该TCP报文为圣诞树扫描,即TCP收到所有标志位置为1的数据包,则表示该TCP报文为进行端口扫描的目标数据报文。对于UDP报文来说,若收到空的UDP数据报文,则表示该UDP报文为进行端口扫描的目标数据报文。对于ICMP报文来说,所有收到的ping报文均为目标数据报文。
当确定接收到的数据报文为目标数据报文后,根据该目标数据报文的多元组,确定发送该目标数据报文的源IP地址,然后根据该源IP地址,查找与该源IP地址对应的初始节点后,将此次目标数据报文记录到初始节点中。同时,为了方便对第一预设时段进行计时,还可以将首次从该源IP地址接收到目标数据报文的时刻,作为第一预设时段的起始时刻记录到初始节点中。
在初始节点首次记录源IP地址发送目标数据报文后,以初始节点记录该目标数据报文的时刻为起始时刻,统计第一预设时段内初始节点记录的目标数据报文的数量,从而将统计到的目标数据报文的数量作为源IP地址在第一预设时段内对设备端口的扫描次数。
而为进一步减少初始节点所占用的内存,在一实施例中,如图2所示,根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数,包括:
步骤201,在接收到所述目标数据报文时,将所述目标数据报文扫描的设备端口的端口信息,作为一条日志信息记录至所述初始节点;
步骤202,根据所述初始节点在第一预设时段内记录的日志信息数量,确定所述源IP地址在第一预设时段内对设备端口的扫描次数。
在一实施例中,在接收到源IP发送的目标数据报文后,从该目标数据报文的五元组中,提取该目标数据报文所扫描的设备端口的端口信息,然后将该端口信息作为一条日志信息,记录到与该源IP对应的初始节点中。同时,将首次从该源IP地址接收到目标数据报文的时刻,作为第一预设时段的起始时刻记录到初始节点中。
这样,在经过第一预设时段后,初始节点中即会记录有N条日志信息。此时即可统计日志信息数量N,并将该日志信息数量N作为源IP地址在第一预设时段内对设备端口的扫描次数。
通过将目标数据报文扫描的设备端口的端口信息,作为一条日志信息记录至初始节点,以根据初始节点在第一预设时段内记录的日志信息数量,确定扫描次数,从而无需在初始节点中记录完整的目标数据报文也可实现目标数据报文的统计,进一步减少初始节点所需占用的内存空间。
而为进一步节省初始节点所占用的内存空间,日志信息可以用bitmap的格式记录。
此外,根据初始节点在第一预设时段内记录的日志信息数量,确定源IP地址在第一预设时段内对设备端口的扫描次数,可以是将日志信息数量直接作为源IP地址在第一预设时段内对设备端口的扫描次数,也可以是从日志信息的总数中,删除对同一个设备端口进行扫描的重复的日志信息,并将删除后剩余的日志信息数量作为扫描次数。
如在第一预设时段内,记录到两条数据报文对设备端口A进行扫描,记录到3条数据报文对设备端口B进行扫描,记录到4条数据报文对设备端口C进行扫描,则此时总的日志信息数量为2+3+4。若删除对同一个设备端口进行扫描的重复的日志信息,则剩下的日志信息数量为被扫描过的所有设备端口的端口数量,即为3。
在获取到源IP地址在第一预设时段内对设备端口的扫描次数后,将该扫描次数与预设次数进行比对。该预设次数可根据实际情况进行设定,如30次。若源IP地址在第一预设时段内对设备端口的扫描次数未超过预设次数,则表示该源IP地址下的连接为正常网络访问连接。
而为进一步减少节点对内存的占用,在一实施例中,若扫描次数未超过预设次数,即源IP地址下的连接为正常网络访问连接,则将该初始节点进行删除,以及时释放占用的系统内存,为后续进行网络连接其他源IP地址提供内存来建立新的初始节点,从而减少对系统内存的占用。
在一实施例中,若该扫描次数超过预设次数,则表示该源IP地址进行了异常频繁的端口扫描,此时可确定该源IP地址发送的扫描流量为恶意扫描流量,该源IP地址为恶意扫描IP。在确定该源IP地址为恶意扫描IP后,对与该源IP地址对应的初始节点进行拓展,将其拓展为用于对源IP地址发送的恶意扫描流量进行阻断的扫描行为节点,并在该扫描行为节点中添加各预设报文类型,以实时利用各预设报文类型对源IP地址发送的当前目标数据报文进行阻断。
其中,各预设报文类型可以包括TCP扫描、UDP扫描以及ICMP扫描等。
具体的,如图3所示,根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断,包括:
步骤301,根据各所述预设报文类型,检测所述源IP地址发送的当前所述目标数据报文;
步骤302,确定当前所述目标数据报文的报文类型,与任一所述预设报文类型相同,阻断当前所述目标数据报文。
在一实施例中,当初始节点拓展为扫描行为节点后,若接收到源IP地址发送的目标数据报文与各预设报文类型中的某一个相同,则扫描行为节点对该目标数据报文进行阻断。
示例性的,当初始节点拓展为扫描行为节点后,若接收到源IP地址发送的目标数据报文为TCP报文,则表示该目标数据报文为进行TCP扫描的报文类型,与各预设报文类型中的TCP扫描相同,此时则通过扫描行为节点对该目标数据报文进行阻断。
而为确保阻断的准确率,在根据扫描行为节点中记录的各预设报文类型,对源IP地址发送的当前目标数据报文进行阻断时,会将各预设报文类型均与源IP地址发送的当前目标数据报文的报文类型进行匹配,以避免出现目标数据报文遗漏的情况。
而为进一步减少节点对系统内存的占用,在一实施例中,在根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断之后,还包括:
确定在第二预设时段内,接收到的各所述目标数据报文的报文类型,均与各所述预设报文类型中的目标报文类型不匹配,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;或,
确定在第二预设时段内,接收到报文类型与各所述预设报文类型中的目标报文类型不匹配的目标数据报文的数量达到预设阈值,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;
其中,所述目标报文类型为任一所述预设报文类型。
在一实施例中,每种预设报文类型均可预先设定有对应的第二预设时段。该第二预设时段可根据实际情况进行设定。针对任意一个目标报文类型,当初始节点被拓展为扫描行为节点时,将初始节点被拓展为扫描行为节点的时刻,作为该目标报文类型的第二预设时段的起始时刻,然后检测在第二预设时段内,是否接收到报文类型与该目标报文类型相匹配的目标数据报文。若接收到报文类型与该目标报文类型相匹配的目标数据报文,则对该目标数据报文进行阻断,然后将接收到该目标数据报文的时刻,更新为该目标报文类型的第二预设时段的起始时刻,然后重新检测在第二预设时段内,是否接收到报文类型与该目标报文类型相匹配的目标数据报文。
若在第二预设时段内,均未接收到报文类型与该目标报文类型相匹配的目标数据报文,则表示不存在该目标报文类型的目标数据报文。此时删除该目标报文类型,以及利用该目标报文类型进行目标数据报文匹配的匹配记录,以使扫描行为节点后续不在对目标数据报文进行目标报文类型的匹配,从而释放扫描行为节点执行目标报文类型匹配时所需占用的系统内存。
在一实施例中,每种预设报文类型除可预先设定有对应的第二预设时段外,还可以预先设定有对应的预设阈值。该预设阈值可根据实际情况进行设定。针对任意一个目标报文类型,当初始节点被拓展为扫描行为节点时,将初始节点被拓展为扫描行为节点的时刻,作为该目标报文类型的第二预设时段的起始时刻,然后检测在第二预设时段内,接收到报文类型与该目标报文类型不匹配的目标数据报文的次数。若接收到报文类型与该目标报文类型相匹配的目标数据报文,则对该目标数据报文进行阻断,然后将接收到该目标数据报文的时刻,更新为该目标报文类型的第二预设时段的起始时刻,并重新检测在第二预设时段内,报文类型与该目标报文类型不匹配的目标数据报文的数量。
若在第二预设时段内,检测到报文类型与该目标报文类型不匹配的目标数据报文的数量达到预设阈值,如在第二预设时段内,连续20个目标数据报文的报文类型与目标报文类型不匹配,则表示不存在该目标报文类型的目标数据报文。此时删除该目标报文类型,以及利用该目标报文类型进行目标数据报文匹配的匹配记录,以使扫描行为节点后续不在对目标数据报文进行目标报文类型的匹配,从而释放扫描行为节点执行目标报文类型匹配时所需占用的系统内存。
通过在确定在第二预设时段内,接收到的各目标数据报文的报文类型,均与各预设报文类型中的目标报文类型不匹配,或接收到报文类型与各预设报文类型中的目标报文类型不匹配的目标数据报文的数量达到预设阈值时,删除目标报文类型和目标报文类型的匹配记录来释放扫描行为节点执行目标报文类型匹配时所需占用的系统内存,从而能够根据实际情况及时减少扫描行为节点对系统内存的占用。
为进一步减少对系统内存的占用,在一实施例中,还包括:
确定所述扫描行为节点中的预设报文类型为空,将所述扫描行为节点转换为所述初始节点。
在一实施例中,当各预设报文类型均被删除时,扫描行为节点中的预设报文类型为空,表示无需再对源IP地址发送的目标数据报文进行阻断。此时即可将扫描行为节点重新转换为用于统计源IP地址发送的目标数据报文的初始节点,以将扫描行为节点转换为占用系统内存更少的初始节点,从而进一步减少对系统内存的占用,同时也可重新检测源IP地址发送的扫描流量是否为恶意扫描流量。
下面对本申请提供的恶意扫描流量的阻断装置进行描述,下文描述的恶意扫描流量的阻断装置与上文描述的恶意扫描流量的阻断方法可相互对应参照。
在一实施例中,如图4所示,提供了一种恶意扫描流量的阻断装置,包括:
扫描流量统计模块210,用于根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
恶意流量阻断模块220,用于确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
通过用于统计源IP地址发送的目标数据报文的初始节点,获取源IP地址在预设时段内对设备端口的扫描次数后,若该扫描次数超过预设次数,再将初始节点拓展为扫描行为节点,以利用扫描行为节点中记录的各预设报文类型,对源IP地址发送的目标数据报文进行阻断,从而在扫描次数为达到预设次数的阶段,仅通过初始节点进行数据报文的统计,此时节点无需占用太多内存。而只有在扫描次数超过预设次数时,才将初始节点拓展为包括预设报文类型的扫描行为节点进行数据报文数据报文的阻断检测,使节点无需从始至终进行大量内存的占用,进而在提高对恶意端口扫描流量的阻断效率的同时,减少内存的占用。
在一实施例中,扫描流量统计模块210具体用于:
在接收到所述目标数据报文时,将所述目标数据报文扫描的设备端口的端口信息,作为一条日志信息记录至所述初始节点;
根据所述初始节点在第一预设时段内记录的日志信息数量,确定所述源IP地址在第一预设时段内对设备端口的扫描次数。
在一实施例中,所述日志信息为bitmap格式。
在一实施例中,恶意流量阻断模块220还用于:
确定所述扫描次数未超过预设次数,删除所述初始节点,以释放所述初始节点占用的系统内存。
在一实施例中,恶意流量阻断模块220具体用于:
根据各所述预设报文类型,检测所述源IP地址发送的当前所述目标数据报文;
确定当前所述目标数据报文的报文类型,与任一所述预设报文类型相同,阻断当前所述目标数据报文。
在一实施例中,恶意流量阻断模块220还用于:
确定在第二预设时段内,接收到的各所述目标数据报文的报文类型,均与各所述预设报文类型中的目标报文类型不匹配,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;或,
确定在第二预设时段内,接收到报文类型与各所述预设报文类型中的目标报文类型不匹配的目标数据报文的数量达到预设阈值,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;
其中,所述目标报文类型为任一所述预设报文类型。
在一实施例中,恶意流量阻断模块220还用于:
确定所述扫描行为节点中的预设报文类型为空,将所述扫描行为节点转换为所述初始节点。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)810、通信接口(Communication Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的计算机程序,以执行恶意扫描流量的阻断方法,例如包括:
根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种存储介质,存储介质包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,计算机程序被处理器执行时,计算机能够执行上述各实施例所提供的恶意扫描流量的阻断方法,例如包括:
根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种恶意扫描流量的阻断方法,其特征在于,包括:
根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
2.根据权利要求1所述的恶意扫描流量的阻断方法,其特征在于,根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数,包括:
在接收到所述目标数据报文时,将所述目标数据报文扫描的设备端口的端口信息,作为一条日志信息记录至所述初始节点;
根据所述初始节点在第一预设时段内记录的日志信息数量,确定所述源IP地址在第一预设时段内对设备端口的扫描次数。
3.根据权利要求2所述的恶意扫描流量的阻断方法,其特征在于,所述日志信息为bitmap格式。
4.根据权利要求1所述的恶意扫描流量的阻断方法,其特征在于,还包括:
确定所述扫描次数未超过预设次数,删除所述初始节点,以释放所述初始节点占用的系统内存。
5.根据权利要求1所述的恶意扫描流量的阻断方法,其特征在于,根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断,包括:
根据各所述预设报文类型,检测所述源IP地址发送的当前所述目标数据报文;
确定当前所述目标数据报文的报文类型,与任一所述预设报文类型相同,阻断当前所述目标数据报文。
6.根据权利要求1或5所述的恶意扫描流量的阻断方法,其特征在于,还包括:
确定在第二预设时段内,接收到的各所述目标数据报文的报文类型,均与各所述预设报文类型中的目标报文类型不匹配,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;或,
确定在第二预设时段内,接收到报文类型与各所述预设报文类型中的目标报文类型不匹配的目标数据报文的数量达到预设阈值,删除所述目标报文类型和所述目标报文类型的匹配记录,以释放所述扫描行为节点执行所述目标报文类型匹配时所需占用的系统内存;
其中,所述目标报文类型为任一所述预设报文类型。
7.根据权利要求6所述的恶意扫描流量的阻断方法,其特征在于,还包括:
确定所述扫描行为节点中的预设报文类型为空,将所述扫描行为节点转换为所述初始节点。
8.一种恶意扫描流量的阻断装置,其特征在于,包括:
扫描流量统计模块,用于根据用于统计源IP地址发送的目标数据报文的初始节点,获取所述源IP地址在第一预设时段内对设备端口的扫描次数;
恶意流量阻断模块,用于确定所述扫描次数超过预设次数,将所述初始节点拓展为扫描行为节点,以根据所述扫描行为节点中记录的各预设报文类型,对所述源IP地址发送的当前所述目标数据报文进行阻断;
其中,所述目标数据报文为进行端口扫描的数据报文。
9.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的恶意扫描流量的阻断方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述的恶意扫描流量的阻断方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211706180.6A CN116015904A (zh) | 2022-12-29 | 2022-12-29 | 恶意扫描流量的阻断方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211706180.6A CN116015904A (zh) | 2022-12-29 | 2022-12-29 | 恶意扫描流量的阻断方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116015904A true CN116015904A (zh) | 2023-04-25 |
Family
ID=86026303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211706180.6A Pending CN116015904A (zh) | 2022-12-29 | 2022-12-29 | 恶意扫描流量的阻断方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015904A (zh) |
-
2022
- 2022-12-29 CN CN202211706180.6A patent/CN116015904A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10652265B2 (en) | Method and apparatus for network forensics compression and storage | |
CN110650128B (zh) | 一种检测以太坊数字货币盗取攻击的系统及方法 | |
WO2018032936A1 (zh) | 一种对算法生成域名进行检测的方法及装置 | |
WO2015165296A1 (zh) | 协议类型的识别方法和装置 | |
EP2482517A1 (en) | Method, apparatus and system for protocol identification | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
CN109669795A (zh) | 崩溃信息处理方法及装置 | |
CN107395553B (zh) | 一种网络攻击的检测方法、装置及存储介质 | |
EP3316550A1 (en) | Network monitoring device and method | |
WO2021226781A1 (zh) | 防火墙规则的更新方法、装置、服务器及存储介质 | |
CN109726340A (zh) | 统一资源定位符分类的查询方法及装置 | |
CN113660215A (zh) | 基于Web应用防火墙的攻击行为检测方法以及装置 | |
CN110958245B (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
CN112769635A (zh) | 多粒度特征解析的服务识别方法及装置 | |
CN113242260A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
JP2007013263A (ja) | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 | |
CN113098852A (zh) | 一种日志处理方法及装置 | |
CN116015904A (zh) | 恶意扫描流量的阻断方法及装置 | |
CN113992364B (zh) | 一种网络数据包阻断优化方法以及系统 | |
CN110198294B (zh) | 安全攻击检测方法及装置 | |
CN109391583B (zh) | 一种基于恶意应用的攻击者溯源方法和系统 | |
CN109889619B (zh) | 基于区块链的异常域名监测方法及装置 | |
CN116305220B (zh) | 一种基于大数据的资源数据处理方法及系统 | |
CN115225593B (zh) | 分片报文重组方法、装置、设备和介质 | |
CN113285953B (zh) | 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |