(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111603496.8 (22)申请日 2021.12.24 (71)申请人 中孚信息股份有限公司 地址 250101 山东省济南市高新区经十路 7000号汉峪金谷A1- 5号楼25层 (72)发明人 刘洋洋　路冰　孟维英　孙宁　 邹斯达　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 专利代理师 刘雪萍 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/142(2022.01) (54)发明名称 一种基于流量数据的端口扫描识别方法、 系 统及装置 (57)摘要 本发明提出的一种基于流量数据的端口扫 描识别方法、 系统及装置， 属于计算机技术领域。 所述方法包括： 将具有扫描行为的流量数据以每 十分钟划分一个时间窗口； 在同一时间窗口内， 聚合同一源ip地址下目的ip与目的端口相同的 数据； 判断任一源ip地址的访问数据是否小于预 设阈值； 并统计此源ip地址的访问信息和相应的 目的ip地址的访问信息， 作为输入信息； 分别通 过Snort检测方法、 比值计算法、 频率计算法计算 输入信息并进行集成， 得到源ip地址的最终检测 分数； 判断源ip地址的最终检测分数是否 大于判 定值； 若是， 则认定此源ip地址存在端口扫描行 为。 本发明能够更准确的发现执行扫描操作的主 机， 将恶意 攻击带来的不利后果降至最低。 权利要求书3页 说明书7页 附图2页 CN 114465764 A 2022.05.10 CN 114465764 A 1.一种基于流 量数据的端口扫描识别方法， 其特 征在于， 包括： 获取服务器到客户端的数据包， 并在其中筛 选出具有扫描行为的流 量数据； 将具有扫描行为的流 量数据以每十分钟 划分一个时间窗口； 在同一时间窗口内， 聚合同一源ip地址下目的ip与目的端口相同的数据； 根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值； 若是， 则认定此源ip 地址不具有扫描行为， 筛去相应的流量数据； 否则统计此源ip地址的访问信息和相应的目 的ip地址的访问信息， 作为输入信息； 分别通过Snort检测方法计算输入信息得出第一参考分数、 通过比值计算法计算输入 信息得出第二参考分数、 通过频率计算法计算输入信息得出第三参考分数； 将第一参考分 数、 第二参考分数和第三 参考分数进行集成， 得到源ip地址的最终检测分数； 判断源ip地址的最终检测分数是否大于判定值； 若是， 则认定此源ip地址存在端 口扫 描行为。 2.根据权利要求1所述的基于流量数据的端口扫描识别方法， 其特征在于， 所述具有扫 描行为的流 量数据具体为： 数据包的数量小于 3个流量数据。 3.根据权利要求1所述的基于流量数据的端口扫描识别方法， 其特征在于， 所述源ip地 址的访问信息和相应的目的ip地址的访问信息， 包括： 源ip地址访问的数目TCO， 访问的目的ip数CIP， 访问的目的端口数CPT； 每一个目的ip 地址的被访问次数TIPi； 每一个目的端口 的被访问次数TPTi； 其中， 具体的数据关系如下： 4.根据权利要求3所述的基于流量数据的端口扫描识别方法， 其特征在于， 所述通过 Snort检测方法计算输入信息得 出第一参考分数， 具体包括： 将Snort检测方法的阈值设置为10 0； 通过Snort检测方法的计算公式得 出第一参考分数X1； 其中， Snort检测方法的计算公式具体如下： 5.根据权利要求4所述的基于流量数据的端口扫描识别方法， 其特征在于， 所述通过比 值计算法计算输入信息得 出第二参考分数， 包括： 将比值计算法的阈值设为5 0； 通过比值计算法的计算公式得 出第二参考分数X2； 比值计算法的计算公式具体如下： 权　利　要　求　书 1/3 页 2 CN 114465764 A 2其中， Fi＝max(CIP/ CPT,CPT/ CIP)。 6.根据权利要求5所述的基于流量数据的端口扫描识别方法， 其特征在于， 所述通过频 率计算法计算输入信息得 出第三参考分数， 包括： 通过下式计算每一个目的ip地址的被访问频率FIPi： 其中， i＝1,2,3……TCO； 通过下式计算每一个目的端口被访问的频率FPTi： 其中， i＝1,2,3……TCO； 通过以下公式计算出第一 参考量G1和第二 参考量G2， 以得 出第三参考分数X3： X3＝max(G1,G2)。 7.根据权利要求6所述的基于流量数据的端口扫描识别方法， 其特征在于， 所述将第 一 参考分数、 第二 参考分数和第三 参考分数进行集成， 得到源ip地址的最终检测分数， 包括： 通过以下公式计算得 出源ip地址的最终检测分数 X： X＝0.5×max(X1,X2,X3)+0.3 ×media(X1,X2,X3)+0.2 ×min(X1,X2,X3)。 8.根据权利要求1所述的基于流量数据的端口扫描识别方法， 其特征在于， 所述判定值 为0.6。 9.一种基于流 量数据的端口扫描识别系统， 其特 征在于， 包括： 数据获取单元， 用于获取服务器到客户端的数据包， 并在其中筛选出具有扫描行为的 流量数据； 划分单元， 用于将具有扫描行为的流 量数据以每十分钟 划分一个时间窗口； 数据聚合单元， 用于在同一时间窗口内， 聚合同一源ip地址下目的ip与目的端口相同 的数据； 第一判定单元， 用于根据聚合结果判断任一源ip地址的访 问数据是否小于预设阈值； 若是， 则认定此源ip地址不具有扫描 行为， 筛去相应的流量数据； 否则统计此源ip地址的访 问信息和相应的目的ip地址的访问信息， 作为输入信息； 计算单元， 用于分别通过Snort检测方法计算输入信息得出第一参考分数、 通过比值计 算法计算输入信息得 出第二参考分数、 通过 频率计算法计算输入信息得 出第三参考分数； 集成运算单元， 用于将第 一参考分数、 第二参考分数和第 三参考分数进行集成， 得到源 ip地址的最终检测分数； 第二判定单元， 用于判断源ip地址的最终检测分数是否大于判定值； 若是， 则认定此源 ip地址存在端口扫描行为。权　利　要　求　书 2/3 页 3 CN 114465764 A 3