(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111590607.6 (22)申请日 2021.12.23 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 邓军　王飞　苗宇　李宇博　 刘寿浩　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 孙小明 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种扫段攻击检测方法、 装置、 介质和电子 设备 (57)摘要 本申请提供一种扫段攻击检测方法、 装置、 介质和电子设备， 涉及计算机网络安全技术领 域。 该方法， 基于预设的互联网数据中心的IP地 址集合的基准流量特征， 确定当前监测周期的目 标IP地址信息， 所述目标IP地址信息包括异常流 量的IP地址； 确定各所述异常流量的IP地址的周 期间流量增长是否具有相似性特征； 所述周期间 流量增长为所述当前监测周期与所述当前监测 周期的上一个监测周期相比的流量的增加量； 针 对所述当前监测周 期， 基于所述相似性特征， 判 断所述互联网数据中心是否遭受扫段攻击。 该方 法能够实现准确确定异常流量的IP地址并对应 地进行流量增量的剖析， 可以有效地检出是否发 生扫段攻击并提高检测准确率。 权利要求书2页 说明书15页 附图6页 CN 114338120 A 2022.04.12 CN 114338120 A 1.一种扫段攻击检测方法， 其特 征在于， 包括： 基于预设的互联网数据中心的互联网协议IP地址集合的基准流量特征， 确定当前监测 周期的目标IP地址信息， 所述目标IP地址信息包括异常流 量的IP地址； 确定各所述异常流量的IP地址的周期间流量增长是否具有相似性特征； 所述周期间流 量增长为所述当前监测周期与所述当前监测周期的上一个监测周期相比的流 量的增加量； 针对所述当前监测周期， 基于所述相似性特征， 判断所述互联网数据中心是否遭受扫 段攻击。 2.根据权利要求1所述的方法， 其特征在于， 所述目标IP地址信息还包括异常流量的IP 地址数量； 所述相似性特征为第一相似性特征； 若各所述异常流量的IP地址的所述周期间 流量增长， 均存在满足第一判定条件的同一个预设的目标协议组成， 则确定各所述异常流 量的IP地址的所述周期间流量增长具有 所述第一相似性特征； 所述第一判定条件为在所述 周期间流量增长中， 所述目标协 议组成对应的流量的增加量的占比超过预设的第一比例阈 值； 所述基于所述相似性特 征， 判断所述互联网数据中心是否 遭受扫段攻击， 包括： 若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第一相似性特征且 所述异常流量的IP地址数量超过预设的IP地址阈值， 则判断所述互联网数据中心遭受扫段 攻击。 3.根据权利要求1所述的方法， 其特征在于， 所述目标IP地址信息还包括传输持续时 长； 所述传输持续时长为所述当前监测周期内， 在对应的所述异常流量的IP地址的数据流 的数据流持续时间中， 数据流数量的占比最大 的所述数据流持续时间； 所述相似性特征包 括第二相似性特征和第三相似性特征； 若各所述异常流量的IP地址的所述周期间流量增 长， 均存在满足第二判定条件的同一个流量参数， 则确定各所述异常流量的IP地址的所述 周期间流量增长具有所述第二相似性特征； 所述第二判定条件为在所述周期间流量增长 中， 所述同一个所述流量参数对应的流量的增加量的占比超过预设的第二比例阈值； 若IP 地址细分组的流量增长值的均值分别与对应的所述传输持续时长的比值均相同， 则确定各 所述异常流量的IP地址的所述周期间流量增长具有 所述第三相似性特征， 其中所述IP地址 细分组是基于各所述异常流量的IP地址的所述传输持续时长， 对各所述异常流量的IP地址 的所述周期间流 量增长的流 量增长值进行划分得到的； 所述基于所述相似性特 征， 判断所述互联网数据中心是否 遭受扫段攻击， 包括： 若确定各所述异常流量的IP地址的所述周期间流量增长具有所述第二相似性特征和 所述第三相似性特 征， 则判断所述互联网数据中心遭受扫段攻击 。 4.根据权利要求3所述的方法， 其特征在于， 所述流量参数为协议类型数据、 源端口数 据或源IP地址数据。 5.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 针对所述当前监测周期， 若确定只具有所述第二相似性特征， 或只具有所述第三相似 性特征， 则判断所述互联网数据中心遭受疑似扫段攻击 。 6.根据权利要求1所述的方法， 其特征在于， 所述基于预设的互联网数据中心的IP地址 集合的基准 流量特征， 确定当前监测周期的目标IP地址信息之前， 所述方法还 包括： 基于路由器上传的IP地址别流量数据、 预设的基线时间区间和统计周期， 建立所述互权　利　要　求　书 1/2 页 2 CN 114338120 A 2联网数据中心的IP地址集合的所述基准流量特征； 所述基准流量特征包括IP地址集合总流 量基线、 单IP地址流量基线、 单IP地址流量协议组成基线、 单IP地址流量地理组成基线中的 部分或全部 。 7.根据权利要求6所述的方法， 其特征在于， 所述基于预设的互联网数据中心的IP地址 集合的基准 流量特征， 确定当前监测周期的目标IP地址信息， 包括： 若监测到所述当前监测周期的周期总流量， 超过所述IP地址集合总流量基线中对应的 所述统计周期的所述IP地址集合的总 流量， 则根据所述单IP地址流量基线、 所述单IP地址 流量协议组成基线和所述单IP地址流量地理组成基线， 确定所述当前监测周期的所述目标 IP地址信息 。 8.一种扫段攻击检测装置， 其特 征在于， 包括： 异常IP地址识别模块， 用于基于预设的互联网数据中心的IP地址集合的基准流量特 征， 确定当前监测周期的目标IP地址信息， 所述目标IP地址信息包括异常流 量的IP地址； 相似性分析模块， 用于确定各所述异常流量的IP地址的周期间流量增长是否具有相似 性特征； 所述周期间流量增长为所述当前监测周期与所述当前监测周期的上一个监测周期 相比的流 量的增加量； 扫段攻击判断模块， 用于针对所述当前监测周期， 基于所述相似性特征， 判断所述互联 网数据中心是否 遭受扫段攻击 。 9.一种计算机可读存储介质， 所述计算机可读存储介质内存储有计算机程序， 其特征 在于： 所述计算机程序被处 理器执行时， 实现权利要求1～7中任一项所述的方法。 10.一种电子设备， 其特征在于， 包括存储器和处理器， 所述存储器上存储有可在所述 处理器上运行的计算机程序， 当所述计算机程序被所述处理器执行时， 实现权利要求1～7 中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114338120 A 3