一种端口扫描检测的方法、装置、计算机设备和存储介质制造方法及图纸

本发明专利技术公开了一种端口扫描检测的方法、装置、计算机设备和存储介质，包括：基于目标服务器端口访问日志生成源IP所对应的购物篮，对所述购物篮通过关联规则挖掘出所述源IP对目标服务器集群的端口访问的频繁k项集；对所述频繁k项集进行k值和方差两层排序，基于排序结果判断所述源IP的端口扫描行为；计算包含所述频繁k项集中已识别为端口扫描行为的端口相对于预设高危端口的置信度。本发明专利技术应用关联规则找出频繁k项集，通过设定k值和方差阈值来检测端口扫描行为，并通过设定置信度阈值进一步识别高危端口，提高端口扫描行为的检测精度和高危端口识别度，降低误报率。

A Method, Device, Computer Equipment and Storage Medium for Port Scanning Detection

The invention discloses a method, device, computer equipment and storage medium for port scanning detection, including: a shopping basket corresponding to the source IP generated by the target server port access log, mining the frequent k-item sets of port access of the source IP to the target server cluster through association rules, and sorting the k-value and variance of the frequent k-item sets. The port scanning behavior of the source IP is judged based on the sorting results, and the confidence of ports that have been identified as port scanning behavior in the frequent k-item set relative to the preset high-risk ports is calculated. The invention applies association rules to find frequent K itemsets, detects port scanning behavior by setting K value and variance threshold, further identifies high-risk ports by setting confidence threshold, improves detection accuracy and high-risk port recognition of port scanning behavior, and reduces false alarm rate.

【技术实现步骤摘要】
一种端口扫描检测的方法、装置、计算机设备和存储介质
本专利技术实施例涉及信息安全技术，尤其涉及一种端口扫描检测的方法、装置、计算机设备和存储介质。
技术介绍
随着计算机及网络系统中存储的重要信息越来越多，系统的安全问题日益严重，需要找到更好的措施来保护系统免收入侵者的攻击。运维安全审计系统，是在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件和网络活动，以便集中报警、记录、分析、处理的一种技术手段。通过端口扫描发现服务器提供的服务及其漏洞，是网络入侵的前奏。对于运维安全审计来说，端口扫描检测是必要的技术。在海量的服务器访问记录中识别出是端口扫描行为，一般情况下是统计数据包的个数来判断，这存在检测精度不高的问题；而基于异常的检测方法，则存在误报率高的问题。有鉴于此，如何提高检测精度，提交检测结果的准确性，已经成为现阶段本领域技术人员亟需解决的问题。
技术实现思路
本专利技术提供一种端口扫描检测的方法、装置、计算机设备和存储介质，以检测端口扫描行为和识别高危端口，提高本文档来自技高网...

【技术保护点】
1.一种端口扫描检测的方法，其特征在于，包括：基于目标服务器端口访问日志生成源IP所对应的购物篮，对所述购物篮通过关联规则挖掘出所述源IP对目标服务器集群的端口访问的频繁k项集；对所述频繁k项集进行k值和方差两层排序，基于排序结果判断所述源IP的端口扫描行为；计算包含所述频繁k项集中已识别为端口扫描行为的端口相对于预设高危端口的置信度。

【技术特征摘要】
1.一种端口扫描检测的方法，其特征在于，包括：基于目标服务器端口访问日志生成源IP所对应的购物篮，对所述购物篮通过关联规则挖掘出所述源IP对目标服务器集群的端口访问的频繁k项集；对所述频繁k项集进行k值和方差两层排序，基于排序结果判断所述源IP的端口扫描行为；计算包含所述频繁k项集中已识别为端口扫描行为的端口相对于预设高危端口的置信度。2.根据权利要求1所述的端口扫描检测的方法，其特征在于，基于目标服务器端口访问日志生成源IP所对应的购物篮，对所述购物篮通过关联规则挖掘出所述源IP对目标服务器集群的端口访问的频繁k项集，具体为：采集目标服务器端口访问日志中记录的源IP在单个时间片内访问的目的IP、端口和访问时间，生成所述源IP的购物篮；对所述购物篮通过关联规则挖掘出所述源IP对目标服务器集群的端口访问的k项集和所述k项集的支持度，筛选出频繁k项集。3.根据权利要求1所述的端口扫描检测的方法，其特征在于，对所述频繁k项集进行k值和方差两层排序，基于排序结果判断所述源IP的端口扫描行为，具体为：对所述频繁k项集按照k的数值由大到小进行第一层排序，筛选出k大于第一阈值的频繁k项集；在所述k大于第一阈值的频繁k项集中按照方差由小到大进行第二层排序，根据第二层排序的排序结果判断所述源IP的端口扫描行为。4.根据权利要求3所述的端口扫描检测的方法，其特征在于，对所述频繁k项集进行k值和方差两层排序，基于排序结果判断所述源IP的端口扫描行为之前还包括：计算包含所述频繁k项集的端口被访问频次的方差。5.根据权利要求1所述的端口扫描检测的方法，其特征在于，计算包含所述频繁k项集中已识别为端口扫描行为的端口相对于预设高危端口的置信度，包括：若所述置信度大于或者...

【专利技术属性】
技术研发人员：方建生，
申请(专利权)人：广州视源电子科技股份有限公司，
类型：发明
国别省市：广东,44