网络中异常扫描行为的检测方法、装置、电子设备及介质制造方法及图纸

本发明专利技术实施例公开一种网络中异常扫描行为的检测方法、装置、电子设备及存储介质，涉及计算机技术领域，能够提高网络中异常扫描行为的检测成功率。该方法包括：获取目标网络的流量监控日志和边界防护设备检测能力阈值；基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志；在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息；若存在，则确定所述目标网络受到异常扫描。本发明专利技术实施例应用于检测网络中异常扫描行为的场景。扫描行为的场景。扫描行为的场景。

【技术实现步骤摘要】
网络中异常扫描行为的检测方法、装置、电子设备及介质


[0001]本专利技术涉及计算机
，尤其涉及一种网络中异常扫描行为的检测方法、装置、电子设备及存储介质。

技术介绍

[0002]当网络攻击者打算攻击某一目标网络时，通常会对该目标网络进行扫描，即多次对目标网络发出访问请求，以进行信息采集。然后利用采集到的信息，对目标网络发动网络攻击，具体的网络攻击方式可以为爆破攻击。
[0003]为了提高网络攻击的效率，攻击者可以采用一些自动化网络扫描工具进行扫描，网络扫描工具可以为Nmap(全称为Network Mapper，最早是Linux下的网络扫描和嗅探工具包)。目前有些网络攻击者在使用网络扫描工具时，通过降低网络扫描工具扫描频率，模仿人为访问网络的方式，以采集目标网络的相关信息。在这种情况下，边界防护设备无法根据访问频率判定其属于异常扫描，因此该种低频次的异常扫描能够绕过边界防护设备的监测，实现对目标网络的信息采集，这就降低了异常扫描的检测成功率。
[0004]因此，如何提高异常扫描的检测成功率成为了目前亟待解决的一个技术问题。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供一种网络中异常扫描行为的检测方法、装置、电子设备及存储介质，能够提高网络中异常扫描行为的检测成功率。
[0006]第一方面，本专利技术实施例提供一种网络中异常扫描行为的检测方法，所述检测方法包括：获取目标网络的流量监控日志和边界防护设备检测能力阈值；基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志；在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息；若存在，则确定所述目标网络受到异常扫描。
[0007]可选的，所述基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志，包括：基于源网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第一流量监控日志；和/或，基于目的网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第二流量监控日志。
[0008]可选的，所述在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息，包括：在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设特征信息库中的至少一项特征信息。
[0009]可选的，在获取目标网络的流量监控日志和边界防护设备检测能力阈值之前，所述检测方法还包括：建立预设特征信息库；其中，所述特征信息库中包括扫描特征关键字和/或关键网址。
[0010]可选的，所述建立预设特征信息库，包括：从已知网络扫描工具对目标虚拟设备的
访问流量中，提取特征信息并保存。
[0011]可选的，所述从已知网络扫描工具对目标虚拟设备的访问流量中，提取特征信息并保存，包括：获取已知网络扫描工具对目标虚拟设备的访问流量文件；对所述访问流量文件进行还原；从还原后的访问流量中，提取特征信息并保存。
[0012]第二方面，本专利技术实施例提供一种网络中异常扫描行为的检测装置，所述检测装置包括：获取模块，用于获取目标网络的流量监控日志和边界防护设备检测能力阈值；聚合模块，用于基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志；判断模块，用于在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息；确定模块，用于若存在，则确定所述目标网络受到异常扫描。
[0013]可选的，所述聚合模块包括：第一聚合单元，用于基于源网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第一流量监控日志；和/或，第二聚合单元，用于基于目的网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第二流量监控日志。
[0014]可选的，所述判断模块具体用于：在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设特征信息库中的至少一项特征信息。
[0015]可选的，所述检测装置还包括：建立模块，用于在获取目标网络的流量监控日志和边界防护设备检测能力阈值之前，建立预设特征信息库；其中，所述特征信息库中包括扫描特征关键字和/或关键网址。
[0016]可选的，所述建立模块，包括：提取单元，用于从已知网络扫描工具对目标虚拟设备的访问流量中，提取特征信息并保存。
[0017]可选的，所述提取单元具体用于：获取已知网络扫描工具对目标虚拟设备的访问流量文件；对所述访问流量文件进行还原；从还原后的访问流量中，提取特征信息并保存。
[0018]第三方面，本专利技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行本专利技术的任一实施例提供的网络中异常扫描行为的检测方法。
[0019]第四方面，本专利技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的网络中异常扫描行为的检测方法。
[0020]本专利技术实施例提供的网络中异常扫描行为的检测方法、装置、电子设备以及存储介质，可以获取目标网络的流量监控日志和边界防护设备检测能力阈值；基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志；在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息；若存在，则确定所述目标网络受到异常扫描。这样一来，通过在扫描频率低于边界防护设备检测能力阈值的流量监控日志中，检测是否存在预设的特征信息，即可确定目标网络是否受到异常扫描，从而可以检测到边界防护设备无法检测到的异常扫描行为，
进而能够提高网络中异常扫描行为的检测成功率。
附图说明
[0021]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0022]图1为本专利技术实施例提供的一种网络中异常扫描行为的检测方法的流程示意图；
[0023]图2为本专利技术实施例提供的一种网络中异常扫描行为的检测装置的结构示意图；
[0024]图3为本专利技术实施例提供的一种电子设备的结构示意图。
具体实施方式
[0025]下面结合附图对本专利技术实施例进行详细描述。
[0026]应当明确，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络中异常扫描行为的检测方法，其特征在于，所述检测方法包括：获取目标网络的流量监控日志和边界防护设备检测能力阈值；基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志；在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息；若存在，则确定所述目标网络受到异常扫描。2.根据权利要求1所述的检测方法，其特征在于，所述基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志，包括：基于源网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第一流量监控日志；和/或，基于目的网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第二流量监控日志。3.根据权利要求1所述的检测方法，其特征在于，所述在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息，包括：在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设特征信息库中的至少一项特征信息。4.根据权利要求1所述的检测方法，其特征在于，在获取目标网络的流量监控日志和边界防护设备检测能力阈值之前，所述检测方法还包括：建立预设特征信息库；其中，所述特征信息库中包括扫描特征关键字和/或关键网址。5.根据权利要求4所述的检测方法，其特征在于，所述建立预设特征信息库，包括：从已知网络扫描工具对目标虚拟设备的访问流量中，提取特征信息并保存。6.根据权利要求5所述的检测方法，其特征在于，所述从已知网络扫描工具对目...

【专利技术属性】
技术研发人员：田国新，孙晋超，肖新光，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：