WO2019134333A1

WO2019134333A1 - 端口监控方法、装置、计算机设备及存储介质

Info

Publication number: WO2019134333A1
Application number: PCT/CN2018/088707
Authority: WO
Inventors: 王元铭
Original assignee: 平安科技（深圳）有限公司
Priority date: 2018-01-08
Filing date: 2018-05-28
Publication date: 2019-07-11
Also published as: CN108200068A; CN108200068B

Abstract

一种端口监控方法，包括：当在网络信息存储库中未查询到网络地址时，则对网络地址进行标记。获取接收请求数据的端口。根据端口的类型以及请求数据获取标记的网络地址的风险等级。当网络地址的风险等级大于预设等级时，则将风险等级大于预设等级的网络地址进行存储。当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应。

Description

端口监控方法、装置、计算机设备及存储介质

相关申请的交叉引用

本申请要求于2018年1月8日提交中国专利局，申请号为2018100162818，申请名称为“端口监控方法、装置、计算机设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及一种端口监控方法、装置、计算机设备及存储介质。

背景技术

随着互联网科技的发展，人们可以在互联网上进行各种活动，因此，人们越来越关注是否会有入侵设备请求与服务器进行连接从而进行数据的传输，通常，入侵设备是先扫描服务器的端口，当寻找到服务器中可用的端口时，入侵设备则发送通信请求与服务器进行交互，若不及时发现有入侵设备对服务器进行端口扫描请求连接，进而进行防御，则会出现服务器被入侵的风险。

传统地，服务器需要对不同的端口都按时进行人工监控，从而排查是否有入侵设备对服务器的端口进行扫描，从而发现威胁，导致发现不及时，且发现效率低。

发明内容

根据本申请公开的各种实施例，提供一种端口监控方法、装置、计算机设备及存储介质。

一种端口监控的方法，包括：

接收终端发送的请求数据并提取所述请求数据上携带的网络地址；

当在网络信息存储库中未查询到所述网络地址时，则对所述网络地址进行标记；

获取接收所述请求数据的端口；

根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级；

当所述网络地址的风险等级大于预设等级时，则将所述风险等级大于预设等级的网络地址进行存储；及

当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应。

一种端口监控装置，包括：

提取模块，用于接收终端发送的请求数据并提取所述请求数据上携带的网络地址。

标记模块，用于当在网络信息存储库中未查询到所述网络地址时，则对所述网络地址进行标记。

第一获取模块，用于获取接收所述请求数据的端口。

第二获取模块，用于根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级。

存储模块，用于当所述网络地址的风险等级大于预设等级时，则将所述风险等级大于预设等级的网络地址进行存储；及

禁止响应模块，用于当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应。

一种计算机设备，包括存储器和一个或多个处理器，所述存储器中储存有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述一个或多个处理器执行以下步骤：

获取接收所述请求数据的端口；

一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行以下步骤：

获取接收所述请求数据的端口；

本申请的一个或多个实施例的细节在下面的附图和描述中提出。本申请的其它特征和优点将从说明书、附图以及权利要求书变得明显。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为根据一个或多个实施例中端口监控方法的应用场景图。

图2为根据一个或多个实施例中端口监控方法的流程示意图。

图3为根据一个或多个实施例中端口监控装置的框图。

图4为根据一个或多个实施例中计算机设备的框图。

具体实施方式

为了使本申请的技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的端口监控方法，可以应用于如图1所示的应用环境中。终端通过网络与服务器进行通信。服务器接收终端发送的请求数据，进而提取请求数据上携带的网络地址，当服务器在网络信息存储库中未查询到网络地址时，则该网络地址对应的终端为与服务器进行初次通信，则此时需要对该网络地址进行进一步识别查询，从而确定该网络地址对应的终端是否是入侵设备，进而服务器获取接收到终端发送请求数据的端口，根据接收到请求数据的端口的类型以及获取到的请求数据获取标记的网络地址的风险等级，当网络地址的风险等级大于预设等级时，则将该风险等级大于预设等级的网络地址进行存储，当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应，也即风险等级大于预设等级的网络地址对应的终端为入侵设备，则服务器不与该终端进行通信。终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在其中一个实施例中，如图2所示，提供了一种端口监控方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：

S202：接收终端发送的请求数据并提取请求数据上携带的网络地址。

具体地，请求数据是指与服务器请求交换数据前的待响应信息，可以是，请求数据是终端在与服务器请求通信之前，向服务器发送的确认是否做好准备的待响应信息，例如，请求数据可以是终端向服务器请求通信之前，向服务器发送的第一次握手信息，如，请求数据可以是TCP数据包(Transmission Control Protocol，传输控制协议)，请求数据也可以是UDP数据包(User Datagram Protocol，用户数据报协议)等。网络地址是指处于某网络中的计算机的网络地址，该网络地址可以唯一地标识网络中的该计算机设备，该计算机与其他计算机或者服务器进行通信时可以采用网络地址作为通信标识，例如，网络地址可以是IP(Internet Protocol，互联网协议)地址等。进一步地，当接收到终端发送的请求数据时，请求数据上携带有终端对应的网络地址，进而直接提取请求数据上携带的网络地址进行查询从而识别该网络地址确认是否与该网络地址对应的终端进行数据交互等。例如，当服务器接收到终端发送的第一次握手信息时，则需要确定是否可以与该终端进行数据交互等，进而服务器提取接收到的终端发送的请求数据上携带的网络地址，通过识别请求数据上携带的网络地址从而判断是否与该终端进行信息交互。

S204：当在网络信息存储库中未查询到网络地址时，则对网络地址进行标记。

具体地，网络信息存储库是指配置在服务器上，可以存储有不同的网络地址的是数据库，网络信息存储库中可以存储有第一IP地址、第二IP地址等不同的IP地址。进一步地，当接收到终端发送的请求数据并提取到请求数据携带的网络地址时，则与网络信息存储库中存储的待匹配网络地址进行匹配，当请求数据携带的网络地址未与待匹配网络地址匹配成功时，也即在网络信息存储库中未查询到该网络地址，则该请求数据携带的网络地址为需要继续识别的网络地址，从而确认是否为具有威胁性的网络地址，进而可以确认该网络地址对应的终端是否为入侵设备，则对请求数据上携带的网络地址进行标记，标记网络地址可以是对网络地址上添加有对应的标签，如可以是添加有待识别标签，则该请求数据上携带的网络地址为需要继续识别的网络地址。例如，服务器将提取到的请求数据携带的网络地址与存储在网络信息存储库中待匹配网络地址进行匹配，也即，可以是服务器将提取到的网络地址与网络信息存储库中存储的待匹配网络地址逐一匹配，直至遍历完网络信息存储库中存储的所有待匹配数据，当服务器提取到的网络地址与待匹配网络地址未匹配成功时，则服务器未在网络信息存储库中查询到该提取到的网络地址，进而该提取到的网络地址需要进一步识别，确认发送该请求数据的终端是否为入侵设备，则服务器取到网络地址进行标记，如对该网络地址添加待识别标签等。

S206：获取接收请求数据的端口。

具体地，端口是指服务器中可以与不同的计算机设备进行通信的接口，端口可以是接收不同类型的数据的接口，端口也可以是配置有不同的通信协议的端口；例如，端口可以是TCP端口，也可以是UDP端口等。进一步地，当提取到了网络地址时，并经过上述方法进行查询，当未在网络信息存储库中查询到则获取接收到携带有该网络地址的请求数据的端口。可以是，当服务器提取到请求数据上携带的网络地址时，并在网络信息存储库中未查询到该网络地址时，则对该网络地址进行标记进行后续识别，进而服务器获取接收到请求数据的端口。

S208：根据端口的类型以及请求数据获取标记的网络地址的风险等级。

具体地，根据上述步骤，当获取到端口时，进而查询端口的类型，根据查询到的端口的类型以及请求数据，识别进行标记的网络地址，进而获取标记的网络地址的风险等级。可以是，当服务器获取到端口时，查询该端口的类型，进而根据查询到的端口类型以及请求数据，识别进行标记的网络地址，如可以根据接收到请求数据的端口类型，根据端口类型查询接收到请求数据的端口数量，进而再获取请求数据的数量，从而与预设值进行判断，进而获取标记的网络地址的风险等级。

S210：当网络地址的风险等级大于预设等级时，则将风险等级大于预设等级的网络地址进行存储。

具体地，风险等级是用于评价网络地址是否安全的安全指标，风险等级可以是预设的评价网络地址是否安全的不同级别，例如，风险等级可以按照级别从低到高设置，风险等级越高，则表示对应的网络地址存在的风险越高，如，风险等级设置为1级到5级，表示网络地址对应的风险越来越高。进一步地，预设有相应的等级，当网络地址的风险等级大于相应的等级时，则该网络地址为具有威胁性的网络地址，该网络地址对应的终端可以看作为入侵设备，进而，将查询的风险等级大于预设等级的网络地址进行存储，例如，预设等级可以设置为3，当风险等级大于3级时，则该网络地址为具有威胁性的网络地址，该网络地址对应的中段可以看作为入侵设备，进而，服务器可以将该网络地址存储在相应的数据库里，则该网络地址为禁止通信的网络地址，则该网络地址对应的终端为禁止与服务器进行数据交互的设备。需要说明的是，预设等级还可以根据服务器需要进行通信的实际情况，预设为2级、4级、5级等。

S212：当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应。

具体地，当网络地址的风险等级大于预设等级时，则当前风险等级大于预设等级的网络地址为有威胁性的网络地址，该风险等级大于预设等级的网络地址对应的终端为入侵设备，则该网络地址为禁止通信的网络地址，进而该网络地址对应的终端为禁止与服务器进行数据交互的设备，则当服务器接收到已存储的风险等级大于预设等级的网络地址发送的请求数据时，则不响应该请求数据，进而，该网络地址对应的终端未收到请求数据对应的服务器的响应数据时，则无法与服务器进行数据交互。

需要说明的是，本实施例中，也可以是服务器接收到终端发送的请求数据并提取请求数据上携带的网络地址，当在网络信息存储库中未查询到网络地址时，则对网络地址进行标记，进而查询在预设的时间段内标记的网络地址对应的终端向服务器发送的请求数据的次数，例如，预设时间段可以是10分钟内发送了1000次，当发送请求数据的次数超过预设值时，则该网络地址对应的终端可能是在试探服务器的端口的打开情况，也即标记的网络地址可能是具有威胁性的网络地址，则标记的网络地址对应的终端可能为入侵设备，则继续对标记的网络地址进行识别，服务器获取接收请求数据的端口，进而根据端口的类型以及请求数据获取标记的网络地址的风险等级，当标记的网络地址的风险等级大于预设等级时，将该风险等级大于预设等级的网络地址进行存储。其他可选的，预设时间段可以为2分钟、3分钟、5分钟等，预设的次数可以是10次、50次、100次、500次等。

上述实施例中，当服务器接收到待识别设备发送的请求数据时，提取请求数据上的网络地址，在网络信息存储库中查询该网络地址，从而判断网络地址进行识别判断是否为首次通信的网络地址，当为首次通信的网络地址时，对该网络地址进行标记，进而根据接收到该请求数据的端口的端口类型以及请求数据获取该网络地址的风险等级，当风险等级大于预设等级时，则将风险等级大于预设等级的网络地址进行存储，也即该网络地址对应的终端可能具有威胁性，当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应。无需人工随时进行监控，可以自动根据端口的类型以及请求数据识别网络地址，从而识别出该网络地址对应的终端为入侵设备，避免在监控中由于人工的监控导致有遗漏，且避免人工分析的耗时，提高发现效率以及可以及时发现风险。

在其中一个实施例中，步骤S208可以包括如下的流程，步骤S208，即根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤，可以包括：

当端口为第一类型端口时，则获取接收到的请求数据的端口数量。具体地，第一类型端口是指配置有相应的通信协议，从而可以用于接收或发送普通的信息的端口，第一类型端口可以是配置有UDP通信协议的端口，例如，第一类型端口为UDP端口。进一步地，当对网路地址进行标记时，则需要对网络地址继续识别，进而获取接收请求数据的端口，当收到请求数据的端口为第一类型端口时，进而获取接收到请求数据的端口数量。例如，当服务器对网络地址进行标记时，则需要对网络地址继续识别，则服务器获取接收请求数据的接口，如获取到接收该请求数据的端口为UDP端口时，则接收到的请求数据为UDP数据包，进而，需要根据接收到UDP数据包的端口的数量查询该网络地址的风险等级，则服务器获取接收到该UDP数据包的UDP端口的数量。

获取当前有效端口的数量。有效端口是指在服务器中对应类型的已打开且可用的可以与其他计算机设备，如终端或服务器进行数据交互的接口。进一步地，当获取到接收到请求数据的端口数量时，进而获取当前有效端口的数量。例如，服务器获取到接收UDP数据包的UDP端口的数量时，服务器获取服务器中所有的已打开且可用的UDP端口可以进行数据交互的端口的数量。

当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。具体地，根据接收请求数据的端口数量与当前有效端口，从而确定风险等级，计算接收到请求数据的端口数量与当前有效端口的数量的比值，当比值小于预设值时，则所有第一类型端口都接收到了网络地址对应的终端发送的请求数据，而不仅仅是打开的可用的第一类型端口接收到请求数据，也即网络地址对应的终端为试探服务器的端口是否打开，则网络地址的风险等级大于预设等级，进而该网络地址对应的终端为入侵设备，当计算接收到请求数据的端口数量与当前有效端口的数量的比值等于或大于预设值时，则该进行了标记的网络地址的风险等级小于预设等级。例如，当为第一类型端口时，则为UDP端口时，请求数据为UDP数据包，则服务器根据接收到的UDP数据包的端口数量与当前打开的UDP端口的数据量确定风险等级，也即计算接收到UDP数据包的UDP端口数量与已打开的可用的UDP端口的数量的比值，如当比值小于预设值3时，则所有的UDP端口都接收到了UDP数据包，也即进行标记的网络地址对应的终端是试探UDP端口是否为打开的可用的状态，则该进行标记的网络地址的风险等级大于预设等级，如果计算接收到UDP数据包的UDP端口数量与已打开的可用的UDP端口的数量的比值大于或等于3时，则进行标记的网络地址的风险等级小于预设等级。需要说明的是，当接收到请求数据的端口数量与当前有效端口的数量的比值的预设值还可以设置为4或5等。

本实施例中，根据对应端口的端口类型，当为第一类型端口时，则直接采用接收请求数据的第一类型端口的数量与当前有效端口的数量的比值获取进行标记的网络地址的风险等级，获取风险等级的方式简单，且根据第一类型端口选取对应的获取进行标识的网络地址的风险等级，选取灵活，适用性强。

在其中一个实施例中，步骤S208可以包括如下的流程，步骤S208，即根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤，还可以包括：

当端口为第二类型端口时，则获取请求数据中的标志位。第二类型端口是指配置有相应的通信协议，从而可以用于接收或发送重要的信息的端口，第二类型端口可以是配置有 TCP通信协议的端口，例如，第一类型端口为TCP端口。标志位是指请求数据中携带有标识当前请求数据发送状态的标识，例如，标志位可以是紧急标志位(URG)、有意义的应答标志位(ACK)、重置连接标志位(RST)、同步序列号标志位(SYN)、完成发送数据标志位(FIN)或空标志位等。进一步地，当对网路地址进行标记时，则需要对网络地址继续识别，进而获取接收请求数据的端口当端口的类型为第二类型端口时，则获取接收到的请求数据中的标志位。可以是，当服务器对网络地址进行标记时，则需要对网络地址继续识别，则服务器获取接收请求数据的端口，如获取到接收该请求数据的端口为TCP端口时，则接收到的请求数据为TCP数据包，进而，需要根据接收到的TCP数据包中的标志位查询该网络地址的风险等级，则服务器获取接收到的TCP数据包中不同的标志位的数量，如获取标志位可以是紧急标志位(URG)、有意义的应答标志位(ACK)、重置连接标志位(RST)、同步序列号标志位(SYN)、完成发送数据标志位(FIN)以及空标志位等。

获取存在预设标志信息的标志位的数量。具体地，预设标志信息是指预先设置的表示请求数据的状态的信息。例如，预设标志信息可以是预设的表示请求数据的状态的信息，如可以是获取同步序列号、已完成发送数据或空标志等。进一步地，当获取到请求数据中的标志位时，则查询请求数据中的标志位存在预设标志信息的数量。可以是，预设标志信息可以是已完成发送数据，当服务器获取到TCP数据包的不同标志位时，获取标志位中表示为已完成发送数据的标志位的数量，也即可以是获取完成发送数据标志位(FIN)的数量；也可以是，预设标志信息可以是获取同步序列号数据，当服务器获取到TCP数据包的不同标志位时，获取标志位中表示获取同步序列号数据的标志位的数量，也即可以是获取同步序列号标志位(SYN)的数量；还可以是，预设标志位信息可以是空标志，当服务器获取到TCP数据包的不同标志位时，获取标志位中表示空标志的标志位的数量，也即可以获取空标志位的数量等。

统计请求数据的接收数量。具体地，服务器统计接收到的请求数据的数量。可以是，当接收请求数据的端口为TCP端口时，则接收到的请求数据为TCP数据包，统计接收到TCP数据包的数量。

当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。具体的，计算存在预设标志信息的标志位的数量与请求数据的接收数量的比值，当比值超过阈值时，则进行标记的网络地址的风险等级大于预设等级，当比值等于或小于阈值时，则进行标记的网络地址的风险等级小于预设等级。可以是，当接收请求数据的端口为TCP端口时，则接收到的请求数据为TCP数据包，统计接收到TCP数据包的数量，当预设标志信息是已完成发送数据，获取标志位中表示为已完成发送数据的标志位的数量，也即可以是获取完成发送数据标志位(FIN)的数量，进而计算TCP数据包中表示为已完成发送数据的标志位的数量与接收到TCP数据包数量的比值，当比值超过20％时，则认为进行标记的网络地址对应的终端向服务器所有TCP端口都发送有第一次握手信息，也即试探服务器打开的端口从而与服务器打开的端口进行数据交互请求，则该进行标识的网络地址为风险等级大于预设等级的网络地址，则该网络地址对应的终端为入侵设备，但若比值小于20％或等于20％时，则进行标识的网络地址为风险等级小于等于预设等级的网络地址。也可以是，预设标志信息也可以是获取同步序列号数据或空标志等，则判断步骤如上，在此不再赘述。

需要说明的时，存在预设标志信息的标志位的数量与请求数据的接收数量的比值的阈值可以是10％，12％，15％，21％等。

需要说明的时，当端口为第二类型的端口时，服务器也可以获取接收到请求数据的端口数量，进而获取当前有效端口的数量，当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。例如，当端口为TCP端口时，则接收到的请求数据为TCP数据包，进而服务器获取到接收TCP数据包的TCP端口的数量，且获取当前有效可用的TCP端口的数量，当接收到TCP数据包的TCP端口数量与当前有效可用的TCP端口的数量的比值小于3时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。其中，接收到请求数据的端口数量与当前有效端口的数量的比值的预设值还可以为4或5等。

本实施例中，根据对应端口的端口类型，当为第二类型端口时，则采用请求数据中的标志位进行判断，判断方式多样，且判断准确，选取灵活，增强适用性。

在其中一个实施例中，上述方法还可以包括如下步骤：

网络信息存储库包括黑名单存储库与白名单存储库。具体地，黑名单存储库是指存储有禁止通信的网络地址的数据库，禁止通信的网络地址是具有威胁性的网络地址；白名单存储库是指存储有可信的网络地址的数据库，可信的网络地址是指服务器可以与该可信的网络地址对应的终端直接进行通信，而无需进一步识别的网络地址。

将提取到的网络地址与黑名单存储库中的网络地址进行匹配。具体地，当提取到请求数据上携带的网络地址，则与黑名单存储库中存储的网络地址进行匹配。可以是，服务器将提取到请求数据上携带的网络地址与黑名单存储库中存储的网络地址逐一进行匹配，直至遍历完黑名单存储库中的所有网络地址。例如，服务器将提取到的请求数据上携带的网络地址，将提取到的网络地址与黑名单存储库中的任意一个网络地址按照字符进行匹配，当未匹配成功时，则继续与黑名单存储库中下一个网络地址按照字符进行匹配，直至遍历完黑名单存储库中的所有网络地址。

当提取到的网络地址与黑名单存储库中的网络地址匹配成功时，则提取到的网络地址为禁止通信网络地址。具体地，当提取到的网络地址与黑名单存储库中的存储的网络地址逐一进行匹配，当与其中任意一个网络地址匹配成功时，则提取到的网络地址为禁止通信网络地址，则该网络地址为具有威胁性的网络地址，进而无法与该网络地址对应的终端进行数据交互。可以是，服务器提取到的网络地址与黑名单存储库中存储的网络地址逐一进行匹配，当与其中任意一个网络地址匹配成功时，则提取到的网络地址为禁止通信网络地址。

当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时，则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配。具体地，当提取到的网络地址与黑名单存储库中存储的网络地址逐一进行匹配，当遍历完成黑名单存储库中所有的网络地址，提取到的网络地址都未与黑名单存储库中存储的网络地址匹配成功时，则需要进行继续识别，则将提取到的网络地址与白名单存储库中存储的网络地址进行逐一匹配，直至遍历完白名单存储库中存储的所有的网络地址。可以是，服务器将提取到的网络地址与黑名单存储库中的网络地址逐一进行匹配，当遍历完成黑名单存储库中所有的网络地址，提取到的网络地址都未与黑名单存储库中存储的网络地址匹配成功时，则继续识别，进而服务器将提取到的网络地址与白名单存储库中存储的任意一个网络地址进行匹配，当未匹配成功时，则服务器将提取到的网络地址与白名单存储库中下一个网络地址进行匹配，直至遍历完白名单存储库中存储的网络地址。

当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到网络地址。具体地，当提取到的网络地址与白名单存储库中存储的网络地址逐一进行匹配，未与白名单存储库中存储的网络地址匹配成功时，则提取到的网络地址也不是可信任的网络地址，也即在网络信息存储库中未查询到提取到的网络地址。可以是，服务器将提取到的网络地址与白名单存储库中的网络地址逐一进行匹配，当遍历完成白名单存储库中所有的网络地址，提取到的网络地址都未与白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到该网络地址，进而对该网络地址进行继续识别。

本实施例中，服务器将提取到的网络地址与黑名单存储库进行匹配，当匹配成功时则为禁止通信网络地址，则服务器不与该网络地址对应的终端进行数据交互，当未在黑名单存储库中查询到该提取到的网络地址时，则将该提取到的网络地址与白名单存储库中存储的网络地址进行匹配，当未匹配成功时，则该网络地址也不是可信任的网络地址，则需要进一步识别，也即该网络地址未在网络信息存储库中查询到该网络地址。先查询是否为禁止通信网络地址或者是可信任网络地址，避免后续识别的误识别，提高准确性，增强适用性。

在其中一个实施例中，上述步骤S212，即当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应的步骤，可以包括：

查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。具体地，当将风险等级大于预设等级的网络地址进行存储后，则查询该存储的风险等级大于预设等级的网络地址对应的终端发送请求数据的频率，可以是，服务器将风险等级大于预设等级的网络地址进行存储后，则获取该风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间段，并获取风险等级大于预设等级的网络地址对应的终端在该时间段内向端口发送请求数据的次数，进而计算发送请求数据的次数与发送请求数据的时间段的比值，获得风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。例如，端口可以是TCP端口，请求数据可以为TCP数据包，服务器将风险等级大于预设等级的网络地址进行存储后，则获取该风险等级大于预设等级的网络地址对应的终端向TCP端口发送TCP数据包的时间段，并获取风险等级大于预设等级的网络地址对应的终端在该时间段内向TCP端口发送TCP数据包的次数，进而计算发送TCP数据包的次数与发送TCP数据包的时间段的比值，获得风险等级大于预设等级的网络地址对应的终端向TCP端口发送请求数据的频率。端口也可以是UDP端口，请求数据也可以为UDP数据包，进而按照如上的方法查询风险等级大于预设等级的网络地址对应的终端向UDP端口发送UDP数据包的频率，在此不再赘述。

当频率大于预设频率时，则将风险等级大于预设等级的网络地址添加到黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。具体地，当获取到风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率时，比较该频率与预设频率，当该频率大于预设频率时，则该风险等级大于预设等级的网络地址为禁止通信网络地址，进而将该网络地址添加到黑名单存储库中，也即当网络地址对应的终端向服务器发送请求数据时，则不响应该请求数据，则服务器不再与该网络地址对应的终端进行数据交互。可以是，当服务器获取到风险等级大于预设等级的网络地址对应的终端想端口发送请求数据的频率时，比较该频率与预设频率，当该频率大于预设频率时，则该风险等级大于预设等级的网络地址对应的终端是在试探终端打开的端口，则为具有威胁性的网络地址，进而该网络地址对应的终端为入侵设备，则服务器将该风险等级大于预设等级的网络地址添加到黑名单存储库中，进而当网络地址对应的终端向服务器发送请求数据时，则不响应该请求数据，则服务器不再与该网络地址对应的终端进行数据交互。需要说明的是，预设频率可以为5、10、12、13、15等。

本实施例中，可以直接根据查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率与预设频率进行比较，当大于预设频率时，则将该风险等级大于预设等级的网络地址添加到黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应，判断风险等级大于预设等级的网络地址为禁止通信网络地址的方法简单，判断效率高，识别服务器端口被入侵设备扫描的效率高。

在其中一个实施例中，上述步骤S212，即当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应的步骤，还可以包括：

提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。具体地，当将风险等级大于预设等级的网络地址进行存储后，则提取该已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。可以是，服务器将风险等级大于预设等级的网络地址进行存储后，查询到端口接收请求数据的时间，进而提取该时间。

当发送请求数据的时间在预设的时间段内时，则对风险等级大于预设等级的网络地址添加可疑标签。具体地，可疑标签是指该风险等级大于预设等级的网络地址的风险程度的标识，可疑标签可以是表示风险等级大于预设等级的网络地址需要进一步判断是否为禁止通信网络地址的标识。进一步地，当服务器提取到风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间在预设时间段内时，则该风险等级大于预设等级的网络地址对应的终端在特殊时间段内向服务器的端口发送请求数据，进而请求与服务器进行数据交互等，则可能为可疑的风险等级大于预设等级的网络地址，则服务器对风险等级大于预设等级的网络地址添加可疑标签。需要说明的是，预设的时间段可以是服务器通常不与终端进行数据交互的特殊时间段，预设的时间段可以是凌晨的某个时间段等，例如，预设的时间段可以是23点到凌晨0点之间，预设的时间段可以是凌晨1点至凌晨1点30分之间等。

本实施例中，服务器根据已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间是否在预设的时间段内，如果在预设时间段内则需要进一步分析，进而添加可疑标签，可以监控预设的时间段，例如一些特殊时间，且采取不同的方式识别风险等级大于预设等级的网络地址，从而识别对应入侵设备，查询准确，且发现及时增强适用性。

在其中一个实施例中，上述当发送请求数据的时间为预设的时间时，则对风险等级大于预设等级的网络地址添加可疑标签步骤之后，还可以包括：

查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。具体地，服务器查询添加了可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。可以是，服务器查询添加了可疑标签的风险等级大于预设等级的网络地址对应的终端在上述时间段内向服务器的端口发送请求数据的次数，例如，可以统计在特殊时间，凌晨1点至1点30分之间添加可疑标签的风险等级大于预设等级的网络地址对应的终端向TCP端口发送TCP数据包的次数，也可以统计在特殊时间，凌晨1点至1点30分之间添加可疑标签的风险等级大于预设等级的网络地址对应的终端向UDP端口发送UDP数据包的次数等。

当次数大于等于预设值时，则将添加了可疑标签的网络地址添加到黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。具体地，当服务器统计的次数大于预设次数时，则在预设时间段内风险等级大于预设等级的网络地址对应的终端是在试探服务器打开的端口，则该风险等级大于预设等级的网络地址为禁止通信网络地址，则服务器不与该网络地址对应的终端进行数据交互等，则将该网络地址添加至黑名单存储库中，也即当网络地址对应的终端向服务器发送请求数据时，则不响应该请求数据，则服务器不再与该网络地址对应的终端进行数据交互。例如，可以预设次数为10次，当服务器统计添加了可疑标签的风险等级大于预设等级的网络地址对应的终端向服务器端口发送请求数据的次数大于10次时，则该风险等级大于预设等级的网络地址为禁止通信网络地址，则服务器不与该网络地址对应的终端进行数据交互等，则将该网络地址添加至黑名单存储库中，也即当网络地址对应的终端向服务器发送请求数据时，则不响应该请求数据，则服务器不再与该网络地址对应的终端进行数据交互。需要说明的时，预设次数还可以为11次、21次、30次、50次等。

本实施例中，当查询到风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间，进而当该时间在预设的时间段内时，则对风险等级大于预设等级的网络地址添加可疑标签，也即进行第一级识别，进而对添加了可疑标签的风险等级大于预设等级的网络地址进行进一步识别，识别添加了可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间端内发送请求数据的次数，当次数大于等于预设值时，则将该网络地址添加至黑名单存储库，即进行第二级识别，最终确定该网络地址为禁止通信网络地址，则通过两级分析，识别准确，进而对识别风险等级大于预设等级的网络地址对应的终端为入侵设备准确且及时。

应该理解的是，虽然图2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在其中一个实施例中，如图3所示，提供一端口监控装置的接口示意图，端口监控装置300可以包括提取模块310、标记模块320、第一获取模块330、第二获取模块340和存储模块350，其中：

提取模块310，用于接收终端发送的请求数据并提取请求数据上携带的网络地址。

标记模块320，用于当在网络信息存储库中未查询到网络地址时，则对网络地址进行标记。

第一获取模块330，用于获取接收请求数据的端口。

第二获取模块340，用于根据端口的类型以及请求数据获取标记的网络地址的风险等级。

存储模块350，用于当网络地址的风险等级大于预设等级时，则将风险等级大于预设等级的网络地址进行存储。

禁止响应模块360，用于当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应。

在其中一个实施例中，第二获取模块340可以包括：

第一数量获取单元，用于当端口为第一类型端口时，则获取接收到的请求数据的端口数量。

第二数量获取单元，用于获取当前有效端口的数量。

第一判断单元，用于当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。

在其中一个实施例中，第二获取模块340还可以包括：

标志位获取单元，用于当端口为第二类型端口时，则获取请求数据中的标志位。

标志位数量获取单元，用于获取存在预设标志信息的标志位的数量。

统计单元，用于统计请求数据的接收数量。

第二判断单元，当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。

在其中一个实施例中，端口监控装置300还可以包括：

第一匹配模块，用于将提取到的网络地址与黑名单存储库中的网络地址进行匹配。

禁止通信网络地址提取模块，用于当提取到的网络地址与黑名单存储库中的网络地址匹配成功时，则提取到的网络地址为禁止通信网络地址。

第二匹配模块，用于当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时，则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配；

查询模块，用于当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到网络地址。

在其中一个实施例中，禁止访问模块360还可以包括：

频率查询模块，用于查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。

第一添加模块，用于当频率大于预设频率时，则将风险等级大于预设等级的网络地址添加到黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。

在其中一个实施例中，禁止访问模块360还可以包括：

时间提取模块，用于提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。

可疑标签添加模块，用于当发送请求数据的时间在预设的时间段内时，则对风险等级大于预设等级的网络地址添加可疑标签。

在其中一个实施例中，禁止访问模块360还可以包括：

次数查询模块，用于查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。

第二添加模块，用于当次数大于等于预设值时，则将添加了可疑标签的网络地址添加到黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。

关于端口监控装置的具体限定可以参见上文中对于端口监控方法的限定，在此不再赘述。上述端口监控装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图4所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机可读指令和数据库。该内存储器为非易失性存储介质中的操作***和计算机可读指令的运行提供环境。该计算机设备的数据库用于存储端口监控数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种端口监控方法。

本领域技术人员可以理解，图4中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

一种计算机设备，包括存储器和一个或多个处理器，存储器中储存有计算机可读指令，计算机可读指令被处理器执行时，使得一个或多个处理器执行以下步骤：计算机可读指令：接收终端发送的请求数据并提取请求数据上携带的网络地址。当在网络信息存储库中未查询到网络地址时，则对网络地址进行标记。获取接收请求数据的端口。根据端口的类型以及请求数据获取标记的网络地址的风险等级。当网络地址的风险等级大于预设等级时，则将风险等级大于预设等级的网络地址进行存储。及当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应。

在其中一个实施例中，处理器执行计算机可读指令时实现根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤，可以包括：当端口为第一类型端口时，则获取接收到的请求数据的端口数量。获取当前有效端口的数量。及当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。

在其中一个实施例中，处理器执行计算机可读指令时实现根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤，还可以包括：当端口为第二类型端口时，则获取请求数据中的标志位。获取存在预设标志信息的标志位的数量。统计请求数据的接收数量。及当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。

在其中一个实施例中，处理器执行计算机可读指令时还可以实现以下步骤：将提取到的网络地址与黑名单存储库中的网络地址进行匹配。当提取到的网络地址与黑名单存储库中的网络地址匹配成功时，则提取到的网络地址为禁止通信网络地址。当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时，则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配。及当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到网络地址。

在其中一个实施例中，处理器执行计算机可读指令时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应的步骤，还可以包括：查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。及当频率大于预设频率时，则将风险等级大于预设等级的网络地址添加到黑名单存储库中，则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。

在其中一个实施例中，处理器执行计算机可读指令时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应的步骤，还可以包括：提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。及当发送请求数据的时间在预设的时间段内时，则对风险等级大于预设等级的网络地址添加可疑标签。

在其中一个实施例中，处理器执行计算机可读指令时实现当发送请求数据的时间为预设的时间时，则对风险等级大于预设等级的网络地址添加可疑标签步骤之后，还可以包括：查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。及当次数大于等于预设值时，则将添加了可疑标签的网络地址添加到黑名单存储库中，则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。

上述关于计算机设备的具体限定可以参见上文中关于端口监控方法的限定，在此不再赘述。

一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行以下步骤：接收终端发送的请求数据并提取请求数据上携带的网络地址。当在网络信息存储库中未查询到网络地址时，则对网络地址进行标记。获取接收请求数据的端口。根据端口的类型以及请求数据获取标记的网络地址的风险等级。及当网络地址的风险等级大于预设等级时，则将风险等级大于预设等级的网络地址进行存储。当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应。

在其中一个实施例中，计算机可读指令被处理器执行时实现根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤，可以包括：当端口为第一类型端口时，则获取接收到的请求数据的端口数量。获取当前有效端口的数量。当接收到请求数据的端口数量与当前有效端口的数量的比值小于预设值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。

在其中一个实施例中，计算机可读指令被处理器执行时实现根据端口的类型以及请求数据获取标记的网络地址的风险等级的步骤，还可以包括：当端口为第二类型端口时，则获取请求数据中的标志位。获取存在预设标志信息的标志位的数量。统计请求数据的接收数量。当存在预设标志信息的标志位的数量与请求数据的接收数量的比值超过阈值时，则网络地址的风险等级大于预设等级，否则，网络地址的风险等级小于等于预设等级。

在其中一个实施例中，计算机可读指令被处理器执行时还可以实现以下步骤：将提取到的网络地址与黑名单存储库中的网络地址进行匹配。当提取到的网络地址与黑名单存储库中的网络地址匹配成功时，则提取到的网络地址为禁止通信网络地址。当提取到的网络地址未与黑名单存储库中的网络地址匹配成功时，则将提取到的网络地址与白名单存储库中存储的网络地址进行匹配。当提取到的网络地址未与白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到网络地址。

在其中一个实施例中，计算机可读指令被处理器执行时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应的步骤，还可以包括：查询风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的频率。当频率大于预设频率时，则将风险等级大于预设等级的网络地址添加到黑名单存储库中，则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。

在其中一个实施例中，计算机可读指令被处理器执行时实现当接收到风险等级大于预设等级的网络地址发送的请求数据时，则不对请求数据进行响应的步骤，还可以包括：提取已存储的风险等级大于预设等级的网络地址对应的终端向端口发送请求数据的时间。当发送请求数据的时间在预设的时间段内时，则对风险等级大于预设等级的网络地址添加可疑标签。

在其中一个实施例中，计算机可读指令被处理器执行时实现当发送请求数据的时间为预设的时间时，则对风险等级大于预设等级的网络地址添加可疑标签步骤之后，还可以包括：查询添加可疑标签的风险等级大于预设等级的网络地址对应的终端在预设时间段内发送请求数据的次数。当次数大于等于预设值时，则将添加了可疑标签的网络地址添加到黑名单存储库中，则不对添加到黑名单存储库中的风险等级大于预设等级的网络地址发送请求数据进行响应。

上述关于存储介质的具体限定可以参见上文中关于端口监控方法的限定，在此不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一非易失性计算机可读取存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

一种端口监控的方法，包括：

接收终端发送的请求数据并提取所述请求数据上携带的网络地址；

当在网络信息存储库中未查询到所述网络地址时，则对所述网络地址进行标记；

获取接收所述请求数据的端口；

根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级；

当所述网络地址的风险等级大于预设等级时，则将所述风险等级大于预设等级的网络地址进行存储；及

当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应。
根据权利要求1所述方法，其特征在于，所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级，包括：

当所述端口为第一类型端口时，则获取接收到的所述请求数据的端口数量；

获取当前有效端口的数量；及

当接收到所述请求数据的端口数量与所述当前有效端口的数量的比值小于预设值时，则所述网络地址的风险等级大于预设等级，否则，所述网络地址的风险等级小于等于预设等级。
根据权利要求1所述方法，其特征在于，所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级，还包括：

当所述端口为第二类型端口时，则获取所述请求数据中的标志位；

获取存在预设标志信息的标志位的数量；

统计所述请求数据的接收数量；及

当存在预设标志信息的标志位的数量与所述请求数据的接收数量的比值超过阈值时，则所述网络地址的风险等级大于预设等级，否则，所述网络地址的风险等级小于等于预设等级。
根据权利要求1至3任一项所述的方法，其特征在于，所述网络信息存储库包括黑名单存储库与白名单存储库；所述方法还包括：

将提取到的所述网络地址与所述黑名单存储库中的网络地址进行匹配；

当提取到的所述网络地址与所述黑名单存储库中的网络地址匹配成功时，则提取到的所述网络地址为禁止通信网络地址；

当提取到的所述网络地址未与所述黑名单存储库中的网络地址匹配成功时，则将提取到的所述网络地址与白名单存储库中存储的网络地址进行匹配；及

当提取到的所述网络地址未与所述白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到所述网络地址。
根据权利要求4所述的方法，其特征在于，所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应，还包括：

查询所述风险等级大于预设等级的网络地址对应的终端向所述端口发送所述请求数据的频率；及

当所述频率大于预设频率时，则将所述风险等级大于预设等级的网络地址添加到所述黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
根据权利要求4所述的方法，其特征在于，所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应的步骤，还包括：

提取已存储的所述风险等级大于预设等级的网络地址对应的终端向端口发送所述请求数据的时间；及

当发送请求数据的所述时间在预设的时间段内时，则对所述风险等级大于预设等级的网络地址添加可疑标签。
根据权利要求6所述的方法，其特征在于，所述当发送请求数据的所述时间为预设的时间时，则对所述风险等级大于预设等级的网络地址添加可疑标签步骤之后，还包括：

查询所述添加可疑标签的风险等级大于预设等级的网络地址对应的终端在所述预设时间段内发送请求数据的次数；及

当所述次数大于等于预设值时，则将添加了所述可疑标签的网络地址添加到所述黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
一种端口监控装置，包括：

提取模块，用于接收终端发送的请求数据并提取所述请求数据上携带的网络地址；

标记模块，用于当在网络信息存储库中未查询到所述网络地址时，则对所述网络地址进行标记；

第一获取模块，用于获取接收所述请求数据的端口；

第二获取模块，用于根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级；

存储模块，用于当所述网络地址的风险等级大于预设等级时，则将所述风险等级大于预设等级的网络地址进行存储；及

禁止响应模块，用于当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应。
根据权利要求8所述的装置，其特征在于，所述第二获取模块包括：

第一数量获取单元，用于当所述端口为第一类型端口时，则获取接收到的所述请求数据的端口数量；

第二数量获取单元，用于获取当前有效端口的数量；及

第一判断单元，用于当接收到所述请求数据的端口数量与所述当前有效端口的数量的比值小于预设值时，则所述网络地址的风险等级大于预设等级，否则，所述网络地址的风险等级小于等于预设等级。
一种计算机设备，包括存储器及一个或多个处理器，所述存储器中储存有计算机可读指令，所述计算机可读指令被所述一个或多个处理器执行时，使得所述一个或多个处理器执行以下步骤：

接收终端发送的请求数据并提取所述请求数据上携带的网络地址；

当在网络信息存储库中未查询到所述网络地址时，则对所述网络地址进行标记；

获取接收所述请求数据的端口；

根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级；

当所述网络地址的风险等级大于预设等级时，则将所述风险等级大于预设等级的网络地址进行存储；及

当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应。
根据权利要求10所述的计算机设备，其特征在于，所述处理器执行所述计算机可读指令时实现所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级，包括：

当所述端口为第一类型端口时，则获取接收到的所述请求数据的端口数量；

获取当前有效端口的数量；及

当接收到所述请求数据的端口数量与所述当前有效端口的数量的比值小于预设值时，则所述网络地址的风险等级大于预设等级，否则，所述网络地址的风险等级小于等于预设等级。
根据权利要求10所述方法，其特征在于，所述处理器执行所述计算机可读指令时实现所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级，还包括：

当所述端口为第二类型端口时，则获取所述请求数据中的标志位；

获取存在预设标志信息的标志位的数量；

统计所述请求数据的接收数量；及

当存在预设标志信息的标志位的数量与所述请求数据的接收数量的比值超过阈值时，则所述网络地址的风险等级大于预设等级，否则，所述网络地址的风险等级小于等于预设等级。
根据权利要求10至12任一项所述的计算机设备，其特征在于，所述处理器执行所述计算机可读指令时实现所述网络信息存储库包括黑名单存储库与白名单存储库，还包括：

将提取到的所述网络地址与所述黑名单存储库中的网络地址进行匹配；

当提取到的所述网络地址与所述黑名单存储库中的网络地址匹配成功时，则提取到的所述网络地址为禁止通信网络地址；

当提取到的所述网络地址未与所述黑名单存储库中的网络地址匹配成功时，则将提取到的所述网络地址与白名单存储库中存储的网络地址进行匹配；及

当提取到的所述网络地址未与所述白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到所述网络地址。
根据权利要求13所述的计算机设备，其特征在于，所述处理器执行所述计算机可读指令时实现所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应，还包括：

查询所述风险等级大于预设等级的网络地址对应的终端向所述端口发送所述请求数据的频率；及

当所述频率大于预设频率时，则将所述风险等级大于预设等级的网络地址添加到所述黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
根据权利要求13所述的计算机设备，其特征在于，所述处理器执行所述计算机可读指令时实现所述当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应，还包括：

提取已存储的所述风险等级大于预设等级的网络地址对应的终端向端口发送所述请求数据的时间；及

当发送请求数据的所述时间在预设的时间段内时，则对所述风险等级大于预设等级的网络地址添加可疑标签。
根据权利要求15所述的计算机设备，其特征在于，所述处理器执行所述计算机可读指令时实现所述当发送请求数据的所述时间为预设的时间时，则对所述风险等级大于预设等级的网络地址添加可疑标签步骤之后，还包括：

查询所述添加可疑标签的风险等级大于预设等级的网络地址对应的终端在所述预设时间段内发送请求数据的次数；及

将添加了所述可疑标签的网络地址添加到所述黑名单存储库中，则不对添加到所述黑名单存储库中的所述风险等级大于预设等级的网络地址发送请求数据进行响应。
一个或多个存储有计算机可读指令的非易失性计算机可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行以下步骤：

接收终端发送的请求数据并提取所述请求数据上携带的网络地址；

当在网络信息存储库中未查询到所述网络地址时，则对所述网络地址进行标记；

获取接收所述请求数据的端口；

根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级；

当所述网络地址的风险等级大于预设等级时，则将所述风险等级大于预设等级的网络地址进行存储；及

当接收到所述风险等级大于预设等级的网络地址发送的所述请求数据时，则不对所述请求数据进行响应。
根据权利要求17所述的存储介质，其特征在于，所述计算机可读指令被所述处理器执行时实现所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级，包括：

当所述端口为第一类型端口时，则获取接收到的所述请求数据的端口数量；

获取当前有效端口的数量；及

当接收到所述请求数据的端口数量与所述当前有效端口的数量的比值小于预设值时，则所述网络地址的风险等级大于预设等级，否则，所述网络地址的风险等级小于等于预设等级。
根据权利要求17所述的存储介质，其特征在于，所述计算机可读指令被所述处理器执行时实现所述根据所述端口的类型以及所述请求数据获取标记的网络地址的风险等级，还包括：

当所述端口为第二类型端口时，则获取所述请求数据中的标志位；

获取存在预设标志信息的标志位的数量；

统计所述请求数据的接收数量；及

当存在预设标志信息的标志位的数量与所述请求数据的接收数量的比值超过阈值时，则所述网络地址的风险等级大于预设等级，否则，所述网络地址的风险等级小于等于预设等级。
根据权利要求17至19任一项所述的存储介质，其特征在于，所述计算机可读指令被所述处理器执行时实现所述网络信息存储库包括黑名单存储库与白名单存储库；还包括：

将提取到的所述网络地址与所述黑名单存储库中的网络地址进行匹配；

当提取到的所述网络地址与所述黑名单存储库中的网络地址匹配成功时，则提取到的所述网络地址为禁止通信网络地址；

当提取到的所述网络地址未与所述黑名单存储库中的网络地址匹配成功时，则将提取到的所述网络地址与白名单存储库中存储的网络地址进行匹配；及

当提取到的所述网络地址未与所述白名单存储库中存储的网络地址匹配成功时，则在网络信息存储库中未查询到所述网络地址。