【技术实现步骤摘要】
一种扫描行为识别方法、装置及电子设备和存储介质
本申请涉及计算机
,更具体地说,涉及一种扫描行为识别方法、装置及一种电子设备和一种计算机可读存储介质。
技术介绍
在相关技术中,一般采用设置频率阈值的方式判定是否正在进行端口或IP扫描行为。具体的,针对需要保护的服务器1-n,防火墙配置防扫描策略,其中的扫描频率设置为m,当防火墙判定某一时间段k内对某一服务器的不同端口访问超过m×k时判定端口扫描。在上述方案中,端口扫描判定的准确度依赖于扫描频率的设置,若对所有服务器统一设置频率阈值,由于每个服务器的业务场景不同、开放的端口不同导致频率阈值判断存在极大的误判漏判率。若对每个服务器单独配置频率阈值,又会导致防火墙中的扫描策略较多,设备负载较高。因此,如何降低扫描行为判定的误判漏判率是本领域技术人员需要解决的技术问题。
技术实现思路
本申请的目的在于提供一种扫描行为识别方法、装置及一种电子设备和一种计算机可读存储介质,降低了扫描行为判定的误判漏判率。为实现上述目的,本申请提供了一种扫...
【技术保护点】
1.一种扫描行为识别方法,其特征在于,包括:/n识别目标管理区域中的所有对外开放资源;/n当接收到目标数据包时,判断所述目标数据包对应的访问对象是否为所述对外开放资源;若否,则记录所述目标数据包的源IP地址访问非对外开放资源;/n若所述源IP地址访问的非对外开放资源的数量在预设时间跨度内大于预设值,则判定所述源IP地址正在进行扫描行为。/n
【技术特征摘要】 【专利技术属性】
1.一种扫描行为识别方法,其特征在于,包括:
识别目标管理区域中的所有对外开放资源;
当接收到目标数据包时,判断所述目标数据包对应的访问对象是否为所述对外开放资源;若否,则记录所述目标数据包的源IP地址访问非对外开放资源;
若所述源IP地址访问的非对外开放资源的数量在预设时间跨度内大于预设值,则判定所述源IP地址正在进行扫描行为。
2.根据权利要求1所述扫描行为识别方法,其特征在于,所述识别目标管理区域中的所有对外开放资源,包括:
确定所有待防护连接对应的首个回复数据包;其中,所述待防护连接的目的IP地址在所述目标管理区域中;
当所述回复数据包满足第一预设条件或第二预设条件时,将发送所述回复数据包的对象确定为所述对外开放资源;其中,所述第一预设条件为所述回复数据包为TCP数据包且所述回复数据包为对建立连接的响应数据包、非连接重置数据包,所述第二预设条件为所述回复数据包为UDP数据包。
3.根据权利要求1所述扫描行为识别方法,其特征在于,所述判断所述目标数据包对应的访问对象是否为所述对外开放资源之前,还包括:
确定所述目标数据包所属的连接为目标连接,判断所述目标数据包是否为所述目标连接的首个数据包;
若是,则执行所述判断所述目标数据包对应的访问对象是否为所述对外开放资源的步骤。
4.根据权利要求1所述扫描行为识别方法,其特征在于,所述识别目标管理区域中的所有对外开放资源,包括:
识别所述目标管理区域中所有服务器中的所有对外开放资产,并将所述对外开放资产作为所述对外开放资源;
或,识别所述目标管理区域中的所有设备,并将所述设备作为所述对外开放资源。
5.根据权利要求1所述扫描行为识别方法,其特征在于,所述判定所述源IP地址正在进行扫描行为之后,还包括:
拒绝所述源IP地址发起的所有连接。
技术研发人员:廖小华,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。