CN108200068B - 端口监控方法、装置、计算机设备及存储介质 - Google Patents
端口监控方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN108200068B CN108200068B CN201810016281.8A CN201810016281A CN108200068B CN 108200068 B CN108200068 B CN 108200068B CN 201810016281 A CN201810016281 A CN 201810016281A CN 108200068 B CN108200068 B CN 108200068B
- Authority
- CN
- China
- Prior art keywords
- network address
- request data
- preset
- port
- risk level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种端口监控方法、装置、计算机设备及存储介质。接收终端发送的请求数据并提取请求数据上携带的网络地址。当在网络信息存储库中未查询到网络地址时,则对网络地址进行标记。获取接收请求数据的端口。根据端口的类型以及请求数据获取标记的网络地址的风险等级。当网络地址的风险等级大于预设等级时,则将风险等级大于预设等级的网络地址进行存储。当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应。无需人工随时进行监控,避免由于某些特殊时间人工无法监控而遗漏风险等级大于预设等级的网络地址,从而遗漏相应的入侵设备,可以提高发现效率以及可以及时发现风险。
Description
技术领域
本发明涉及计算机领域,特别是涉及一种端口监控方法、装置、计算机设备及存储介质。
背景技术
随着互联网科技的发展,人们可以在互联网上进行各种活动,因此,人们越来越关注是否会有入侵设备请求与服务器进行连接从而进行数据的传输,通常,入侵设备是先扫描服务器的端口,当寻找到服务器中可用的端口时,入侵设备则发送通信请求与服务器进行交互,若不及时发现有入侵设备对服务器进行端口扫描请求连接,进而进行防御,则会出现服务器被入侵的风险。
传统地,服务器需要对不同的端口都按时进行人工监控,从而排查是否有入侵设备对服务器的端口进行扫描,从而发现威胁,导致发现不及时,且发现效率低。
发明内容
基于此,有必要针对发现入侵设备是否对服务器的端口进行扫描发现不及时且发现效率低的问题,提供一种端口监控方法、装置、计算机设备及存储介质。
一种端口监控的方法,所述方法包括:
接收终端发送的请求数据并提取所述请求数据上携带的网络地址;
当在网络信息存储库中未查询到所述网络地址时,则对所述网络地址进行标记;
获取接收所述请求数据的端口;
根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级;
当所述网络地址的风险等级大于预设等级时,则将所述风险等级大于预设等级的网络地址进行存储;
当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应。
在其中一个实施例中,所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级的步骤,包括:
当所述端口为第一类型端口时,则获取接收到的所述请求数据的端口数量;
获取当前有效端口的数量;
当接收到所述请求数据的端口数量与所述当前有效端口的数量的比值小于预设值时,则所述网络地址的风险等级大于预设等级,否则,所述网络地址的风险等级小于等于预设等级。
在其中一个实施例中,所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级的步骤,还包括:
当所述端口为第二类型端口时,则获取所述请求数据中的标志位;
获取存在预设标志信息的标志位的数量;
统计所述请求数据的接收数量;
当存在预设标志信息的标志位的数量与所述请求数据的接收数量的比值超过阈值时,则所述网络地址的风险等级大于预设等级,否则,所述网络地址的风险等级小于等于预设等级。
在其中一个实施例中,所述网络信息存储库包括黑名单存储库与白名单存储库;
所述方法还包括:
将提取到的所述网络地址与所述黑名单存储库中的网络地址进行匹配;
当提取到的所述网络地址与所述黑名单存储库中的网络地址匹配成功时,则提取到的所述网络地址为禁止通信网络地址;
当提取到的所述网络地址未与所述黑名单存储库中的网络地址匹配成功时,则将提取到的所述网络地址与白名单存储库中存储的网络地址进行匹配;
当提取到的所述网络地址未与所述白名单存储库中存储的网络地址匹配成功时,则在网络信息存储库中未查询到所述网络地址。
在其中一个实施例中,所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应的步骤,还包括:
查询所述风险等级大于预设等级的网络地址对应的终端向所述端口发送所述请求数据的频率;
当所述频率大于预设频率时,则将所述风险等级大于预设等级的网络地址添加到所述黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
在其中一个实施例中,所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应的步骤,还包括:
提取已存储的所述风险等级大于预设等级的网络地址对应的终端向端口发送所述请求数据的时间;
当发送请求数据的所述时间在预设的时间段内时,则对所述风险等级大于预设等级的网络地址添加可疑标签。
在其中一个实施例中,所述当发送请求数据的所述时间为预设的时间时,则对所述风险等级大于预设等级的网络地址添加可疑标签步骤之后,还包括:
查询所述添加可疑标签的风险等级大于预设等级的网络地址对应的终端在所述预设时间段内发送请求数据的次数;
当所述次数大于等于预设值时,则将添加了所述可疑标签的网络地址添加到所述黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
一种端口监控装置,所述装置包括:
提取模块,用于接收终端发送的请求数据并提取所述请求数据上携带的网络地址。
标记模块,用于当在网络信息存储库中未查询到所述网络地址时,则对所述网络地址进行标记。
第一获取模块,用于获取接收所述请求数据的端口。
第二获取模块,用于根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级。
存储模块,用于当所述网络地址的风险等级大于预设等级时,则将所述风险等级大于预设等级的网络地址进行存储;
禁止响应模块,用于当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
上述端口监控方法、装置、计算机设备及存储介质,接收待识别设备发送的请求数据,并提取请求数据上的网络地址,当在网络信息存储库中未查询到该网络地址时,则对所述网络地址进行标记,则当接收到请求数据时,则会自动查询是否为首次通信的网络地址,进而查询接收到请求数据的端口,根据端口的类型以及请求数据获取标记的网络地址的风险等级,而不是直接响应请求数据,增强安全性,且当网络地址为风险等级大于预设等级的网络地址时,则将所述风险等级大于预设等级的网络地址进行存储,当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应。也即该网络地址下对应的终端可能具有威胁性。无需人工随时进行监控,可以自动根据端口的类型以及请求数据识别网络地址,从而识别出网络地址对应的设备可能为入侵设备,避免由于某些特殊时间人工无法监控而遗漏风险等级大于预设等级的网络地址,从而遗漏相应的入侵设备,可以提高发现效率以及可以及时发现风险
附图说明
图1为一个实施例中端口监控方法的应用场景图;
图2为一个实施例中端口监控方法的流程示意图;
图3为一个实施例中端口监控装置的结构框图;
图4为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
在详细说明根据本发明的实施例前,应该注意到的是,所述的实施例主要在于与端口监控方法、装置、计算机设备及存储介质相关的步骤和装置组件的组合。因此,所述装置组件和方法步骤已经在附图中通过常规符号在适当的位置表示出来了,并且只示出了与理解本发明的实施例有关的细节,以免因对于得益于本发明的本领域普通技术人员而言显而易见的那些细节模糊了本发明的公开内容。
在本文中,诸如左和右,上和下,前和后,第一和第二之类的关系术语仅仅用来区分一个实体或动作与另一个实体或动作,而不一定要求或暗示这种实体或动作之间的任何实际的这种关系或顺序。术语“包括”、“包含”或任何其他变体旨在涵盖非排他性的包含,由此使得包括一系列要素的过程、方法、物品或者设备不仅包含这些要素,而且还包含没有明确列出的其他要素,或者为这种过程、方法、物品或者设备所固有的要素。
本申请提供的端口监控方法,可以应用于如图1所示的应用环境中。其中,终端通过网络与服务器进行通信。服务器接收终端发送的请求数据,进而提取请求数据上携带的网络地址,当服务器在网络信息存储库中未查询到网络地址时,则该网络地址对应的终端为与服务器进行初次通信,则此时需要对该网络地址进行进一步识别查询,从而确定该网络地址对应的终端是否是入侵设备,进而服务器获取接收到终端发送请求数据的端口,根据接收到请求数据的端口的类型以及获取到的请求数据获取标记的网络地址的风险等级,当网络地址的风险等级大于预设等级时,则将该风险等级大于预设等级的网络地址进行存储,当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应,也即风险等级大于预设等级的网络地址对应的终端为入侵设备,则服务器不与该终端进行通信。其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种端口监控方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
S202:接收终端发送的请求数据并提取请求数据上携带的网络地址。
具体地,请求数据是指与服务器请求交换数据前的待响应信息,可以是,请求数据是终端在与服务器请求通信之前,向服务器发送的确认是否做好准备的待响应信息,例如,请求数据可以是终端向服务器请求通信之前,向服务器发送的第一次握手信息,如,请求数据可以是TCP数据包(Transmission Control Protocol,传输控制协议),请求数据也可以是UDP数据包(User Datagram Protocol,用户数据报协议)等。网络地址是指处于某网络中的计算机的网络地址,该网络地址可以唯一地标识网络中的该计算机设备,该计算机与其他计算机或者服务器进行通信时可以采用网络地址作为通信标识,例如,网络地址可以是IP(Internet Protocol,互联网协议)地址等。进一步地,当接收到终端发送的请求数据时,请求数据上携带有终端对应的网络地址,进而直接提取请求数据上携带的网络地址进行查询从而识别该网络地址确认是否与该网络地址对应的终端进行数据交互等。例如,当服务器接收到终端发送的第一次握手信息时,则需要确定是否可以与该终端进行数据交互等,进而服务器提取接收到的终端发送的请求数据上携带的网络地址,通过识别请求数据上携带的网络地址从而判断是否与该终端进行信息交互。
S204:当在网络信息存储库中未查询到网络地址时,则对网络地址进行标记。
具体地,网络信息存储库是指配置在服务器上,可以存储有不同的网络地址的是数据库,网络信息存储库中可以存储有第一IP地址、第二IP地址等不同的IP地址。进一步地,当接收到终端发送的请求数据并提取到请求数据携带的网络地址时,则与网络信息存储库中存储的待匹配网络地址进行匹配,当请求数据携带的网络地址未与待匹配网络地址匹配成功时,也即在网络信息存储库中未查询到该网络地址,则该请求数据携带的网络地址为需要继续识别的网络地址,从而确认是否为具有威胁性的网络地址,进而可以确认该网络地址对应的终端是否为入侵设备,则对请求数据上携带的网络地址进行标记,标记网络地址可以是对网络地址上添加有对应的标签,如可以是添加有待识别标签,则该请求数据上携带的网络地址为需要继续识别的网络地址。例如,服务器将提取到的请求数据携带的网络地址与存储在网络信息存储库中待匹配网络地址进行匹配,也即,可以是服务器将提取到的网络地址与网络信息存储库中存储的待匹配网络地址逐一匹配,直至遍历完网络信息存储库中存储的所有待匹配数据,当服务器提取到的网络地址与待匹配网络地址未匹配成功时,则服务器未在网络信息存储库中查询到该提取到的网络地址,进而该提取到的网络地址需要进一步识别,确认发送该请求数据的终端是否为入侵设备,则服务器取到网络地址进行标记,如对该网络地址添加待识别标签等。
S206:获取接收请求数据的端口。
具体地,端口是指服务器中可以与不同的计算机设备进行通信的接口,端口可以是接收不同类型的数据的接口,端口也可以是配置有不同的通信协议的端口;例如,端口可以是TCP端口,也可以是UDP端口等。进一步地,当提取到了网络地址时,并经过上述方法进行查询,当未在网络信息存储库中查询到则获取接收到携带有该网络地址的请求数据的端口。可以是,当服务器提取到请求数据上携带的网络地址时,并在网络信息存储库中未查询到该网络地址时,则对该网络地址进行标记进行后续识别,进而服务器获取接收到请求数据的端口。
S208:根据端口的类型以及请求数据获取标记的网络地址的风险等级。
具体地,根据上述步骤,当获取到端口时,进而查询端口的类型,根据查询到的端口的类型以及请求数据,识别进行标记的网络地址,进而获取标记的网络地址的风险等级。可以是,当服务器获取到端口时,查询该端口的类型,进而根据查询到的端口类型以及请求数据,识别进行标记的网络地址,如可以根据接收到请求数据的端口类型,根据端口类型查询接收到请求数据的端口数量,进而再获取请求数据的数量,从而与预设值进行判断,进而获取标记的网络地址的风险等级。
S210:当网络地址的风险等级大于预设等级时,则将风险等级大于预设等级的网络地址进行存储。
具体地,风险等级是用于评价网络地址是否安全的安全指标,风险等级可以是预设的评价网络地址是否安全的不同级别,例如,风险等级可以按照级别从低到高设置,风险等级越高,则表示对应的网络地址存在的风险越高,如,风险等级设置为1级到5级,表示网络地址对应的风险越来越高。进一步地,预设有相应的等级,当网络地址的风险等级大于相应的等级时,则该网络地址为具有威胁性的网络地址,该网络地址对应的终端可以看作为入侵设备,进而,将查询的风险等级大于预设等级的网络地址进行存储,例如,预设等级可以设置为3,当风险等级大于3级时,则该网络地址为具有威胁性的网络地址,该网络地址对应的中段可以看作为入侵设备,进而,服务器可以将该网络地址存储在相应的数据库里,则该网络地址为禁止通信的网络地址,则该网络地址对应的终端为禁止与服务器进行数据交互的设备。需要说明的是,预设等级还可以根据服务器需要进行通信的实际情况,预设为2级、4级、5级等。
S212:当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应。
具体地,当网络地址的风险等级大于预设等级时,则当前风险等级大于预设等级的网络地址为有威胁性的网络地址,该风险等级大于预设等级的网络地址对应的终端为入侵设备,则该网络地址为禁止通信的网络地址,进而该网络地址对应的终端为禁止与服务器进行数据交互的设备,则当服务器接收到已存储的风险等级大于预设等级的网络地址发送的请求数据时,则不响应该请求数据,进而,该网络地址对应的终端未收到请求数据对应的服务器的响应数据时,则无法与服务器进行数据交互。
需要说明的是,本实施例中,也可以是服务器接收到终端发送的请求数据并提取请求数据上携带的网络地址,当在网络信息存储库中未查询到网络地址时,则对网络地址进行标记,进而查询在预设的时间段内标记的网络地址对应的终端向服务器发送的请求数据的次数,例如,预设时间段可以是10分钟内发送了1000次,当发送请求数据的次数超过预设值时,则该网络地址对应的终端可能是在试探服务器的端口的打开情况,也即标记的网络地址可能是具有威胁性的网络地址,则标记的网络地址对应的终端可能为入侵设备,则继续对标记的网络地址进行识别,服务器获取接收请求数据的端口,进而根据端口的类型以及请求数据获取标记的网络地址的风险等级,当标记的网络地址的风险等级大于预设等级时,将该风险等级大于预设等级的网络地址进行存储。其他可选的,预设时间段可以为2分钟、3分钟、5分钟等,预设的次数可以是10次、50次、100次、500次等。
上述实施例中,当服务器接收到待识别设备发送的请求数据时,提取请求数据上的网络地址,在网络信息存储库中查询该网络地址,从而判断网络地址进行识别判断是否为首次通信的网络地址,当为首次通信的网络地址时,对该网络地址进行标记,进而根据接收到该请求数据的端口的端口类型以及请求数据获取该网络地址的风险等级,当风险等级大于预设等级时,则将风险等级大于预设等级的网络地址进行存储,也即该网络地址对应的终端可能具有威胁性,当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应。无需人工随时进行监控,可以自动根据端口的类型以及请求数据识别网络地址,从而识别出该网络地址对应的终端为入侵设备,避免在监控中由于人工的监控导致有遗漏,且避免人工分析的耗时,提高发现效率以及可以及时发现风险。
在其中一个实施例中,步骤S208可以包括如下的流程,步骤S208,即根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤,可以包括:
当端口为第一类型端口时,则获取接收到的请求数据的端口数量。具体地,第一类型端口是指配置有相应的通信协议,从而可以用于接收或发送普通的信息的端口,第一类型端口可以是配置有UDP通信协议的端口,例如,第一类型端口为UDP端口。进一步地,当对网路地址进行标记时,则需要对网络地址继续识别,进而获取接收请求数据的端口,当收到请求数据的端口为第一类型端口时,进而获取接收到请求数据的端口数量。例如,当服务器对网络地址进行标记时,则需要对网络地址继续识别,则服务器获取接收请求数据的接口,如获取到接收该请求数据的端口为UDP端口时,则接收到的请求数据为UDP数据包,进而,需要根据接收到UDP数据包的端口的数量查询该网络地址的风险等级,则服务器获取接收到该UDP数据包的UDP端口的数量。
获取当前有效端口的数量。有效端口是指在服务器中对应类型的已打开且可用的可以与其他计算机设备,如终端或服务器进行数据交互的接口。进一步地,当获取到接收到请求数据的端口数量时,进而获取当前有效端口的数量。例如,服务器获取到接收UDP数据包的UDP端口的数量时,服务器获取服务器中所有的已打开且可用的UDP端口可以进行数据交互的端口的数量。
当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。具体地,根据接收请求数据的端口数量与当前有效端口,从而确定风险等级,计算接收到请求数据的端口数量与当前有效端口的数量的比值,当比值小于预设值时,则所有第一类型端口都接收到了网络地址对应的终端发送的请求数据,而不仅仅是打开的可用的第一类型端口接收到请求数据,也即网络地址对应的终端为试探服务器的端口是否打开,则网络地址的风险等级大于预设等级,进而该网络地址对应的终端为入侵设备,当计算接收到请求数据的端口数量与当前有效端口的数量的比值等于或大于预设值时,则该进行了标记的网络地址的风险等级小于预设等级。例如,当为第一类型端口时,则为UDP端口时,请求数据为UDP数据包,则服务器根据接收到的UDP数据包的端口数量与当前打开的UDP端口的数据量确定风险等级,也即计算接收到UDP数据包的UDP端口数量与已打开的可用的UDP端口的数量的比值,如当比值小于预设值3时,则所有的UDP端口都接收到了UDP数据包,也即进行标记的网络地址对应的终端是试探UDP端口是否为打开的可用的状态,则该进行标记的网络地址的风险等级大于预设等级,如果计算接收到UDP数据包的UDP端口数量与已打开的可用的UDP端口的数量的比值大于或等于3时,则进行标记的网络地址的风险等级小于预设等级。需要说明的是,当接收到请求数据的端口数量与当前有效端口的数量的比值的预设值还可以设置为4或5等。
本实施例中,根据对应端口的端口类型,当为第一类型端口时,则直接采用接收请求数据的第一类型端口的数量与当前有效端口的数量的比值获取进行标记的网络地址的风险等级,获取风险等级的方式简单,且根据第一类型端口选取对应的获取进行标识的网络地址的风险等级,选取灵活,适用性强。
在其中一个实施例中,步骤S208可以包括如下的流程,步骤S208,即根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤,还可以包括:
当端口为第二类型端口时,则获取请求数据中的标志位。第二类型端口是指配置有相应的通信协议,从而可以用于接收或发送重要的信息的端口,第二类型端口可以是配置有TCP通信协议的端口,例如,第一类型端口为TCP端口。标志位是指请求数据中携带有标识当前请求数据发送状态的标识,例如,标志位可以是紧急标志位(URG)、有意义的应答标志位(ACK)、重置连接标志位(RST)、同步序列号标志位(SYN)、完成发送数据标志位(FIN)或空标志位等。进一步地,当对网路地址进行标记时,则需要对网络地址继续识别,进而获取接收请求数据的端口当端口的类型为第二类型端口时,则获取接收到的请求数据中的标志位。可以是,当服务器对网络地址进行标记时,则需要对网络地址继续识别,则服务器获取接收请求数据的端口,如获取到接收该请求数据的端口为TCP端口时,则接收到的请求数据为TCP数据包,进而,需要根据接收到的TCP数据包中的标志位查询该网络地址的风险等级,则服务器获取接收到的TCP数据包中不同的标志位的数量,如获取标志位可以是紧急标志位(URG)、有意义的应答标志位(ACK)、重置连接标志位(RST)、同步序列号标志位(SYN)、完成发送数据标志位(FIN)以及空标志位等。
获取存在预设标志信息的标志位的数量。具体地,预设标志信息是指预先设置的表示请求数据的状态的信息。例如,预设标志信息可以是预设的表示请求数据的状态的信息,如可以是获取同步序列号、已完成发送数据或空标志等。进一步地,当获取到请求数据中的标志位时,则查询请求数据中的标志位存在预设标志信息的数量。可以是,预设标志信息可以是已完成发送数据,当服务器获取到TCP数据包的不同标志位时,获取标志位中表示为已完成发送数据的标志位的数量,也即可以是获取完成发送数据标志位(FIN)的数量;也可以是,预设标志信息可以是获取同步序列号数据,当服务器获取到TCP数据包的不同标志位时,获取标志位中表示获取同步序列号数据的标志位的数量,也即可以是获取同步序列号标志位(SYN)的数量;还可以是,预设标志位信息可以是空标志,当服务器获取到TCP数据包的不同标志位时,获取标志位中表示空标志的标志位的数量,也即可以获取空标志位的数量等。
统计请求数据的接收数量。具体地,服务器统计接收到的请求数据的数量。可以是,当接收请求数据的端口为TCP端口时,则接收到的请求数据为TCP数据包,统计接收到TCP数据包的数量。
当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。具体的,计算存在预设标志信息的标志位的数量与请求数据的接收数量的比值,当比值超过阈值时,则进行标记的网络地址的风险等级大于预设等级,当比值等于或小于阈值时,则进行标记的网络地址的风险等级小于预设等级。可以是,当接收请求数据的端口为TCP端口时,则接收到的请求数据为TCP数据包,统计接收到TCP数据包的数量,当预设标志信息是已完成发送数据,获取标志位中表示为已完成发送数据的标志位的数量,也即可以是获取完成发送数据标志位(FIN)的数量,进而计算TCP数据包中表示为已完成发送数据的标志位的数量与接收到TCP数据包数量的比值,当比值超过20%时,则认为进行标记的网络地址对应的终端向服务器所有TCP端口都发送有第一次握手信息,也即试探服务器打开的端口从而与服务器打开的端口进行数据交互请求,则该进行标识的网络地址为风险等级大于预设等级的网络地址,则该网络地址对应的终端为入侵设备,但若比值小于20%或等于20%时,则进行标识的网络地址为风险等级小于等于预设等级的网络地址。也可以是,预设标志信息也可以是获取同步序列号数据或空标志等,则判断步骤如上,在此不再赘述。
需要说明的时,存在预设标志信息的标志位的数量与请求数据的接收数量的比值的阈值可以是10%,12%,15%,21%等。
需要说明的时,当端口为第二类型的端口时,服务器也可以获取接收到请求数据的端口数量,进而获取当前有效端口的数量,当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。例如,当端口为TCP端口时,则接收到的请求数据为TCP数据包,进而服务器获取到接收TCP数据包的TCP端口的数量,且获取当前有效可用的TCP端口的数量,当接收到TCP数据包的TCP端口数量与当前有效可用的TCP端口的数量的比值小于3时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。其中,接收到请求数据的端口数量与当前有效端口的数量的比值的预设值还可以为4或5等。
本实施例中,根据对应端口的端口类型,当为第二类型端口时,则采用请求数据中的标志位进行判断,判断方式多样,且判断准确,选取灵活,增强适用性。
在其中一个实施例中,上述方法还可以包括如下步骤:
网络信息存储库包括黑名单存储库与白名单存储库。具体地,黑名单存储库是指存储有禁止通信的网络地址的数据库,禁止通信的网络地址是具有威胁性的网络地址;白名单存储库是指存储有可信的网络地址的数据库,可信的网络地址是指服务器可以与该可信的网络地址对应的终端直接进行通信,而无需进一步识别的网络地址。
将提取到的网络地址与黑名单存储库中的网络地址进行匹配。具体地,当提取到请求数据上携带的网络地址,则与黑名单存储库中存储的网络地址进行匹配。可以是,服务器将提取到请求数据上携带的网络地址与黑名单存储库中存储的网络地址逐一进行匹配,直至遍历完黑名单存储库中的所有网络地址。例如,服务器将提取到的请求数据上携带的网络地址,将提取到的网络地址与黑名单存储库中的任意一个网络地址按照字符进行匹配,当未匹配成功时,则继续与黑名单存储库中下一个网络地址按照字符进行匹配,直至遍历完黑名单存储库中的所有网络地址。
当提取到的网络地址与黑名单存储库中的网络地址匹配成功时,则提取到的网络地址为禁止通信网络地址。具体地,当提取到的网络地址与黑名单存储库中的存储的网络地址逐一进行匹配,当与其中任意一个网络地址匹配成功时,则提取到的网络地址为禁止通信网络地址,则该网络地址为具有威胁性的网络地址,进而无法与该网络地址对应的终端进行数据交互。可以是,服务器提取到的网络地址与黑名单存储库中存储的网络地址逐一进行匹配,当与其中任意一个网络地址匹配成功时,则提取到的网络地址为禁止通信网络地址。
当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时,则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配。具体地,当提取到的网络地址与黑名单存储库中存储的网络地址逐一进行匹配,当遍历完成黑名单存储库中所有的网络地址,提取到的网络地址都未与黑名单存储库中存储的网络地址匹配成功时,则需要进行继续识别,则将提取到的网络地址与白名单存储库中存储的网络地址进行逐一匹配,直至遍历完白名单存储库中存储的所有的网络地址。可以是,服务器将提取到的网络地址与黑名单存储库中的网络地址逐一进行匹配,当遍历完成黑名单存储库中所有的网络地址,提取到的网络地址都未与黑名单存储库中存储的网络地址匹配成功时,则继续识别,进而服务器将提取到的网络地址与白名单存储库中存储的任意一个网络地址进行匹配,当未匹配成功时,则服务器将提取到的网络地址与白名单存储库中下一个网络地址进行匹配,直至遍历完白名单存储库中存储的网络地址。
当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时,则在网络信息存储库中未查询到网络地址。具体地,当提取到的网络地址与白名单存储库中存储的网络地址逐一进行匹配,未与白名单存储库中存储的网络地址匹配成功时,则提取到的网络地址也不是可信任的网络地址,也即在网络信息存储库中未查询到提取到的网络地址。可以是,服务器将提取到的网络地址与白名单存储库中的网络地址逐一进行匹配,当遍历完成白名单存储库中所有的网络地址,提取到的网络地址都未与白名单存储库中存储的网络地址匹配成功时,则在网络信息存储库中未查询到该网络地址,进而对该网络地址进行继续识别。
本实施例中,服务器将提取到的网络地址与黑名单存储库进行匹配,当匹配成功时则为禁止通信网络地址,则服务器不与该网络地址对应的终端进行数据交互,当未在黑名单存储库中查询到该提取到的网络地址时,则将该提取到的网络地址与白名单存储库中存储的网络地址进行匹配,当未匹配成功时,则该网络地址也不是可信任的网络地址,则需要进一步识别,也即该网络地址未在网络信息存储库中查询到该网络地址。先查询是否为禁止通信网络地址或者是可信任网络地址,避免后续识别的误识别,提高准确性,增强适用性。
在其中一个实施例中,上述步骤S212,即当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应的步骤,可以包括:
查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。具体地,当将风险等级大于预设等级的网络地址进行存储后,则查询该存储的风险等级大于预设等级的网络地址对应的终端发送请求数据的频率,可以是,服务器将风险等级大于预设等级的网络地址进行存储后,则获取该风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间段,并获取风险等级大于预设等级的网络地址对应的终端在该时间段内向端口发送请求数据的次数,进而计算发送请求数据的次数与发送请求数据的时间段的比值,获得风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。例如,端口可以是TCP端口,请求数据可以为TCP数据包,服务器将风险等级大于预设等级的网络地址进行存储后,则获取该风险等级大于预设等级的网络地址对应的终端向TCP端口发送TCP数据包的时间段,并获取风险等级大于预设等级的网络地址对应的终端在该时间段内向TCP端口发送TCP数据包的次数,进而计算发送TCP数据包的次数与发送TCP数据包的时间段的比值,获得风险等级大于预设等级的网络地址对应的终端向TCP端口发送请求数据的频率。端口也可以是UDP端口,请求数据也可以为UDP数据包,进而按照如上的方法查询风险等级大于预设等级的网络地址对应的终端向UDP端口发送UDP数据包的频率,在此不再赘述。
当频率大于预设频率时,则将风险等级大于预设等级的网络地址添加到黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。具体地,当获取到风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率时,比较该频率与预设频率,当该频率大于预设频率时,则该风险等级大于预设等级的网络地址为禁止通信网络地址,进而将该网络地址添加到黑名单存储库中,也即当网络地址对应的终端向服务器发送请求数据时,则不响应该请求数据,则服务器不再与该网络地址对应的终端进行数据交互。可以是,当服务器获取到风险等级大于预设等级的网络地址对应的终端想端口发送请求数据的频率时,比较该频率与预设频率,当该频率大于预设频率时,则该风险等级大于预设等级的网络地址对应的终端是在试探终端打开的端口,则为具有威胁性的网络地址,进而该网络地址对应的终端为入侵设备,则服务器将该风险等级大于预设等级的网络地址添加到黑名单存储库中,进而当网络地址对应的终端向服务器发送请求数据时,则不响应该请求数据,则服务器不再与该网络地址对应的终端进行数据交互。需要说明的是,预设频率可以为5、10、12、13、15等。
本实施例中,可以直接根据查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率与预设频率进行比较,当大于预设频率时,则将该风险等级大于预设等级的网络地址添加到黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应,判断风险等级大于预设等级的网络地址为禁止通信网络地址的方法简单,判断效率高,识别服务器端口被入侵设备扫描的效率高。
在其中一个实施例中,上述步骤S212,即当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应的步骤,还可以包括:
提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。具体地,当将风险等级大于预设等级的网络地址进行存储后,则提取该已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。可以是,服务器将风险等级大于预设等级的网络地址进行存储后,查询到端口接收请求数据的时间,进而提取该时间。
当发送请求数据的时间在预设的时间段内时,则对风险等级大于预设等级的网络地址添加可疑标签。具体地,可疑标签是指该风险等级大于预设等级的网络地址的风险程度的标识,可疑标签可以是表示风险等级大于预设等级的网络地址需要进一步判断是否为禁止通信网络地址的标识。进一步地,当服务器提取到风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间在预设时间段内时,则该风险等级大于预设等级的网络地址对应的终端在特殊时间段内向服务器的端口发送请求数据,进而请求与服务器进行数据交互等,则可能为可疑的风险等级大于预设等级的网络地址,则服务器对风险等级大于预设等级的网络地址添加可疑标签。需要说明的是,预设的时间段可以是服务器通常不与终端进行数据交互的特殊时间段,预设的时间段可以是凌晨的某个时间段等,例如,预设的时间段可以是23点到凌晨0点之间,预设的时间段可以是凌晨1点至凌晨1点30分之间等。
本实施例中,服务器根据已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间是否在预设的时间段内,如果在预设时间段内则需要进一步分析,进而添加可疑标签,可以监控预设的时间段,例如一些特殊时间,且采取不同的方式识别风险等级大于预设等级的网络地址,从而识别对应入侵设备,查询准确,且发现及时增强适用性。
在其中一个实施例中,上述当发送请求数据的时间为预设的时间时,则对风险等级大于预设等级的网络地址添加可疑标签步骤之后,还可以包括:
查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。具体地,服务器查询添加了可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。可以是,服务器查询添加了可疑标签的风险等级大于预设等级的网络地址对应的终端在上述时间段内向服务器的端口发送请求数据的次数,例如,可以统计在特殊时间,凌晨1点至1点30分之间添加可疑标签的风险等级大于预设等级的网络地址对应的终端向TCP端口发送TCP数据包的次数,也可以统计在特殊时间,凌晨1点至1点30分之间添加可疑标签的风险等级大于预设等级的网络地址对应的终端向UDP端口发送UDP数据包的次数等。
当次数大于等于预设值时,则将添加了可疑标签的网络地址添加到黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。具体地,当服务器统计的次数大于预设次数时,则在预设时间段内风险等级大于预设等级的网络地址对应的终端是在试探服务器打开的端口,则该风险等级大于预设等级的网络地址为禁止通信网络地址,则服务器不与该网络地址对应的终端进行数据交互等,则将该网络地址添加至黑名单存储库中,也即当网络地址对应的终端向服务器发送请求数据时,则不响应该请求数据,则服务器不再与该网络地址对应的终端进行数据交互。例如,可以预设次数为10次,当服务器统计添加了可疑标签的风险等级大于预设等级的网络地址对应的终端向服务器端口发送请求数据的次数大于10次时,则该风险等级大于预设等级的网络地址为禁止通信网络地址,则服务器不与该网络地址对应的终端进行数据交互等,则将该网络地址添加至黑名单存储库中,也即当网络地址对应的终端向服务器发送请求数据时,则不响应该请求数据,则服务器不再与该网络地址对应的终端进行数据交互。需要说明的时,预设次数还可以为11次、21次、30次、50次等。
本实施例中,当查询到风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间,进而当该时间在预设的时间段内时,则对风险等级大于预设等级的网络地址添加可疑标签,也即进行第一级识别,进而对添加了可疑标签的风险等级大于预设等级的网络地址进行进一步识别,识别添加了可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间端内发送请求数据的次数,当次数大于等于预设值时,则将该网络地址添加至黑名单存储库,即进行第二级识别,最终确定该网络地址为禁止通信网络地址,则通过两级分析,识别准确,进而对识别风险等级大于预设等级的网络地址对应的终端为入侵设备准确且及时。
应该理解的是,虽然图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在其中一个实施例中,如图3所示,提供一端口监控装置的接口示意图,端口监控装置300可以包括提取模块310、标记模块320、第一获取模块330、第二获取模块340和存储模块350,其中:
提取模块310,用于接收终端发送的请求数据并提取请求数据上携带的网络地址。
标记模块320,用于当在网络信息存储库中未查询到网络地址时,则对网络地址进行标记。
第一获取模块330,用于获取接收请求数据的端口。
第二获取模块340,用于根据端口的类型以及请求数据获取标记的网络地址的风险等级。
存储模块350,用于当网络地址的风险等级大于预设等级时,则将风险等级大于预设等级的网络地址进行存储。
禁止响应模块360,用于当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应。
在其中一个实施例中,第二获取模块340可以包括:
第一数量获取单元,用于当端口为第一类型端口时,则获取接收到的请求数据的端口数量。
第二数量获取单元,用于获取当前有效端口的数量。
第一判断单元,用于当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。
在其中一个实施例中,第二获取模块340还可以包括:
标志位获取单元,用于当端口为第二类型端口时,则获取请求数据中的标志位。
标志位数量获取单元,用于获取存在预设标志信息的标志位的数量。
统计单元,用于统计请求数据的接收数量。
第二判断单元,当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。
在其中一个实施例中,端口监控装置300还可以包括:
第一匹配模块,用于将提取到的网络地址与黑名单存储库中的网络地址进行匹配。
禁止通信网络地址提取模块,用于当提取到的网络地址与黑名单存储库中的网络地址匹配成功时,则提取到的网络地址为禁止通信网络地址。
第二匹配模块,用于当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时,则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配;
查询模块,用于当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时,则在网络信息存储库中未查询到网络地址。
在其中一个实施例中,禁止访问模块360还可以包括:
频率查询模块,用于查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。
第一添加模块,用于当频率大于预设频率时,则将风险等级大于预设等级的网络地址添加到黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
在其中一个实施例中,禁止访问模块360还可以包括:
时间提取模块,用于提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。
可疑标签添加模块,用于当发送请求数据的时间在预设的时间段内时,则对风险等级大于预设等级的网络地址添加可疑标签。
在其中一个实施例中,禁止访问模块360还可以包括:
次数查询模块,用于查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。
第二添加模块,用于当次数大于等于预设值时,则将添加了可疑标签的网络地址添加到黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
关于端口监控装置的具体限定可以参见上文中对于端口监控方法的限定,在此不再赘述。上述端口监控装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储端口监控数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种端口监控方法。处理器执行该计算机程序时实现以下步骤:接收终端发送的请求数据并提取请求数据上携带的网络地址。当在网络信息存储库中未查询到网络地址时,则对网络地址进行标记。获取接收请求数据的端口。根据端口的类型以及请求数据获取标记的网络地址的风险等级。当网络地址的风险等级大于预设等级时,则将风险等级大于预设等级的网络地址进行存储。当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应。
在其中一个实施例中,处理器执行计算机程序时实现根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤,可以包括:当端口为第一类型端口时,则获取接收到的请求数据的端口数量。获取当前有效端口的数量。当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。
在其中一个实施例中,处理器执行计算机程序时实现根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤,还可以包括:当端口为第二类型端口时,则获取请求数据中的标志位。获取存在预设标志信息的标志位的数量。统计请求数据的接收数量。当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。
在其中一个实施例中,处理器执行计算机程序时还可以实现以下步骤:将提取到的网络地址与黑名单存储库中的网络地址进行匹配。当提取到的网络地址与黑名单存储库中的网络地址匹配成功时,则提取到的网络地址为禁止通信网络地址。当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时,则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配。当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时,则在网络信息存储库中未查询到网络地址。
在其中一个实施例中,处理器执行计算机程序时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应的步骤,还可以包括:查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。当频率大于预设频率时,则将风险等级大于预设等级的网络地址添加到黑名单存储库中,则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。
在其中一个实施例中,处理器执行计算机程序时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应的步骤,还可以包括:提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。当发送请求数据的时间在预设的时间段内时,则对风险等级大于预设等级的网络地址添加可疑标签。
在其中一个实施例中,处理器执行计算机程序时实现当发送请求数据的时间为预设的时间时,则对风险等级大于预设等级的网络地址添加可疑标签步骤之后,还可以包括:查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。当次数大于等于预设值时,则将添加了可疑标签的网络地址添加到黑名单存储库中,则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
上述关于计算机设备的具体限定可以参见上文中关于端口监控方法的限定,在此不再赘述。
在一个实施例中,提供了一种存储介质,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器执行时实现以下步骤:接收终端发送的请求数据并提取请求数据上携带的网络地址。当在网络信息存储库中未查询到网络地址时,则对网络地址进行标记。获取接收请求数据的端口。根据端口的类型以及请求数据获取标记的网络地址的风险等级。当网络地址的风险等级大于预设等级时,则将风险等级大于预设等级的网络地址进行存储。当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应。
在其中一个实施例中,计算机程序被处理器执行时实现接根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤,可以包括:当端口为第一类型端口时,则获取接收到的请求数据的端口数量。获取当前有效端口的数量。当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。
在其中一个实施例中,计算机程序被处理器执行时实现根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤,还可以包括:当端口为第二类型端口时,则获取请求数据中的标志位。获取存在预设标志信息的标志位的数量。统计请求数据的接收数量。当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时,则网络地址的风险等级大于预设等级,否则,网络地址的风险等级小于等于预设等级。
在其中一个实施例中,计算机程序被处理器执行时还可以实现以下步骤:将提取到的网络地址与黑名单存储库中的网络地址进行匹配。当提取到的网络地址与黑名单存储库中的网络地址匹配成功时,则提取到的网络地址为禁止通信网络地址。当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时,则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配。当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时,则在网络信息存储库中未查询到网络地址。
在其中一个实施例中,计算机程序被处理器执行时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应的步骤,还可以包括:查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。当频率大于预设频率时,则将风险等级大于预设等级的网络地址添加到黑名单存储库中,则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。
在其中一个实施例中,计算机程序被处理器执行时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时,则不对请求数据进行响应的步骤,还可以包括:提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。当发送请求数据的时间在预设的时间段内时,则对风险等级大于预设等级的网络地址添加可疑标签。
在其中一个实施例中,计算机程序被处理器执行时实现当发送请求数据的时间为预设的时间时,则对风险等级大于预设等级的网络地址添加可疑标签步骤之后,还可以包括:查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。当次数大于等于预设值时,则将添加了可疑标签的网络地址添加到黑名单存储库中,则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。
上述关于存储介质的具体限定可以参见上文中关于端口监控方法的限定,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种端口监控的方法,所述方法包括:
接收终端发送的请求数据并提取所述请求数据上携带的网络地址;
当在网络信息存储库中未查询到所述网络地址时,则对所述网络地址进行标记;
查询在预设的时间段内标记的网络地址对应的终端发送的请求数据的次数,当发送请求数据的次数超过预设值时,获取接收所述请求数据的端口;所述端口包括第一类型端口和第二类型端口;
根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级;
当所述网络地址的风险等级大于预设等级时,则将所述风险等级大于预设等级的网络地址进行存储;
当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应。
2.根据权利要求1所述方法,其特征在于,所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级的步骤,包括:
当所述端口为第一类型端口时,则获取接收到的所述请求数据的端口数量;
获取当前有效端口的数量;
当接收到所述请求数据的端口数量与所述当前有效端口的数量的比值小于预设值时,则所述网络地址的风险等级大于预设等级,否则,所述网络地址的风险等级小于等于预设等级。
3.根据权利要求1所述方法,其特征在于,所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级的步骤,还包括:
当所述端口为第二类型端口时,则获取所述请求数据中的标志位;
获取存在预设标志信息的标志位的数量;
统计所述请求数据的接收数量;
当存在预设标志信息的标志位的数量与所述请求数据的接收数量的比值超过阈值时,则所述网络地址的风险等级大于预设等级,否则,所述网络地址的风险等级小于等于预设等级。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述网络信息存储库包括黑名单存储库与白名单存储库;
所述方法还包括:
将提取到的所述网络地址与所述黑名单存储库中的网络地址进行匹配;
当提取到的所述网络地址与所述黑名单存储库中的网络地址匹配成功时,则提取到的所述网络地址为禁止通信网络地址;
当提取到的所述网络地址未与所述黑名单存储库中的网络地址匹配成功时,则将提取到的所述网络地址与白名单存储库中存储的网络地址进行匹配;
当提取到的所述网络地址未与所述白名单存储库中存储的网络地址匹配成功时,则在网络信息存储库中未查询到所述网络地址。
5.根据权利要求4所述的方法,其特征在于,所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应的步骤,还包括:
查询所述风险等级大于预设等级的网络地址对应的终端向所述端口发送所述请求数据的频率;
当所述频率大于预设频率时,则将所述风险等级大于预设等级的网络地址添加到所述黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
6.根据权利要求4所述的方法,其特征在于,所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应的步骤,还包括:
提取已存储的所述风险等级大于预设等级的网络地址对应的终端向端口发送所述请求数据的时间;
当发送请求数据的所述时间在预设的时间段内时,则对所述风险等级大于预设等级的网络地址添加可疑标签。
7.根据权利要求6所述的方法,其特征在于,所述当发送请求数据的所述时间为预设的时间时,则对所述风险等级大于预设等级的网络地址添加可疑标签步骤之后,还包括:
查询所述添加可疑标签的风险等级大于预设等级的网络地址对应的终端在所述预设时间段内发送请求数据的次数;
当所述次数大于等于预设值时,则将添加了所述可疑标签的网络地址添加到所述黑名单存储库中,则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
8.一种端口监控装置,其特征在于,所述装置包括:
提取模块,用于接收终端发送的请求数据并提取所述请求数据上携带的网络地址;
标记模块,用于当在网络信息存储库中未查询到所述网络地址时,则对所述网络地址进行标记;查询在预设的时间段内标记的网络地址对应的终端发送的请求数据的次数;
第一获取模块,用于当发送请求数据的次数超过预设值时,获取接收所述请求数据的端口;所述端口包括第一类型端口和第二类型端口;第二获取模块,用于根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级;
存储模块,用于当所述网络地址的风险等级大于预设等级时,则将所述风险等级大于预设等级的网络地址进行存储;
禁止响应模块,用于当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时,则不对所述请求数据进行响应。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810016281.8A CN108200068B (zh) | 2018-01-08 | 2018-01-08 | 端口监控方法、装置、计算机设备及存储介质 |
PCT/CN2018/088707 WO2019134333A1 (zh) | 2018-01-08 | 2018-05-28 | 端口监控方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810016281.8A CN108200068B (zh) | 2018-01-08 | 2018-01-08 | 端口监控方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108200068A CN108200068A (zh) | 2018-06-22 |
CN108200068B true CN108200068B (zh) | 2020-07-14 |
Family
ID=62588581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810016281.8A Active CN108200068B (zh) | 2018-01-08 | 2018-01-08 | 端口监控方法、装置、计算机设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN108200068B (zh) |
WO (1) | WO2019134333A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061998B (zh) * | 2019-04-25 | 2022-03-22 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN110266668B (zh) * | 2019-06-06 | 2021-09-17 | 新华三信息安全技术有限公司 | 一种端口扫描行为的检测方法及装置 |
CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
CN111131221B (zh) * | 2019-12-19 | 2022-04-12 | 中国平安财产保险股份有限公司 | 接口校验的装置、方法及存储介质 |
CN111314308A (zh) * | 2020-01-16 | 2020-06-19 | 国网浙江省电力有限公司温州供电公司 | 基于端口分析的***安全检查方法及装置 |
CN111385293B (zh) * | 2020-03-04 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种网络风险检测方法和装置 |
CN111447199A (zh) * | 2020-03-23 | 2020-07-24 | 深信服科技股份有限公司 | 服务器的风险分析方法、服务器的风险分析装置及介质 |
CN111614675B (zh) * | 2020-05-21 | 2022-08-12 | 深圳市网心科技有限公司 | 请求执行方法、设备、***及介质 |
CN111597556B (zh) * | 2020-05-21 | 2023-05-02 | 四川英得赛克科技有限公司 | 应用于工业控制环境的arp扫描检测方法、*** |
CN111818107B (zh) * | 2020-09-14 | 2021-04-27 | 深圳赛安特技术服务有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
CN112995430A (zh) * | 2021-02-26 | 2021-06-18 | 珠海奔图电子有限公司 | 数据通信控制方法、装置及图像形成装置 |
CN114285654A (zh) * | 2021-12-27 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种检测攻击的方法和装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102932348A (zh) * | 2012-10-30 | 2013-02-13 | 常州大学 | 一种钓鱼网站的实时检测方法及*** |
CN104320412A (zh) * | 2014-11-11 | 2015-01-28 | 福建联迪商用设备有限公司 | 一种蓝牙pos、蓝牙pos安全连接的方法及装置 |
CN105323210A (zh) * | 2014-06-10 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 一种检测网站安全的方法、装置及云服务器 |
CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
CN105868878A (zh) * | 2015-01-21 | 2016-08-17 | 阿里巴巴集团控股有限公司 | Mac地址的风险识别方法及装置 |
WO2017084446A1 (zh) * | 2015-11-20 | 2017-05-26 | 上海斐讯数据通信技术有限公司 | 无线路由器登录管理方法及装置 |
CN106790105A (zh) * | 2016-12-26 | 2017-05-31 | 携程旅游网络技术(上海)有限公司 | 基于业务数据的爬虫识别拦截方法及*** |
CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7797738B1 (en) * | 2005-12-14 | 2010-09-14 | At&T Corp. | System and method for avoiding and mitigating a DDoS attack |
EP3033865A4 (en) * | 2013-08-14 | 2016-08-17 | Daniel Chien | ASSESSMENT OF A FRIENDLY NETWORK COMMUNICATION |
CN106549959B (zh) * | 2016-10-26 | 2020-05-01 | ***股份有限公司 | 一种代理网际协议ip地址的识别方法及装置 |
-
2018
- 2018-01-08 CN CN201810016281.8A patent/CN108200068B/zh active Active
- 2018-05-28 WO PCT/CN2018/088707 patent/WO2019134333A1/zh active Application Filing
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102932348A (zh) * | 2012-10-30 | 2013-02-13 | 常州大学 | 一种钓鱼网站的实时检测方法及*** |
CN105323210A (zh) * | 2014-06-10 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 一种检测网站安全的方法、装置及云服务器 |
CN104320412A (zh) * | 2014-11-11 | 2015-01-28 | 福建联迪商用设备有限公司 | 一种蓝牙pos、蓝牙pos安全连接的方法及装置 |
CN105868878A (zh) * | 2015-01-21 | 2016-08-17 | 阿里巴巴集团控股有限公司 | Mac地址的风险识别方法及装置 |
WO2017084446A1 (zh) * | 2015-11-20 | 2017-05-26 | 上海斐讯数据通信技术有限公司 | 无线路由器登录管理方法及装置 |
CN105681353A (zh) * | 2016-03-22 | 2016-06-15 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
CN106790105A (zh) * | 2016-12-26 | 2017-05-31 | 携程旅游网络技术(上海)有限公司 | 基于业务数据的爬虫识别拦截方法及*** |
CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108200068A (zh) | 2018-06-22 |
WO2019134333A1 (zh) | 2019-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108200068B (zh) | 端口监控方法、装置、计算机设备及存储介质 | |
US10296739B2 (en) | Event correlation based on confidence factor | |
US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
CN107454037B (zh) | 网络攻击的识别方法和*** | |
CN103051617A (zh) | 识别程序的网络行为的方法、装置及*** | |
CN111385309B (zh) | 在线办公设备的安全检测方法、***及终端 | |
US10142359B1 (en) | System and method for identifying security entities in a computing environment | |
CN108810947B (zh) | 基于ip地址的鉴别真实流量的服务器 | |
CN112668005A (zh) | webshell文件的检测方法及装置 | |
CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
CN110493253B (zh) | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 | |
CN109474623B (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
CN113098865B (zh) | 一种浏览器指纹获取方法、装置、电子设备及存储介质 | |
CN112541102B (zh) | 异常数据过滤方法、装置、设备及存储介质 | |
CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与*** | |
US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
CN112583789A (zh) | 被非法登录的登录接口确定方法、装置及设备 | |
CN115834231A (zh) | 一种蜜罐***的识别方法、装置、终端设备及存储介质 | |
CN113660134B (zh) | 端口探测方法、装置、电子装置和存储介质 | |
CN112333053B (zh) | 防蹭网方法、装置、路由设备及存储介质 | |
CN110830454B (zh) | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 | |
CN112288324A (zh) | 基于隐私保护的设备风险检测方法和装置 | |
CN111368294B (zh) | 病毒文件的识别方法和装置、存储介质、电子装置 | |
CN108337217B (zh) | 基于六维空间流量分析模型的木马回联检测***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |