[发明专利]一种基于自学习路径选择的端口扫描方法和系统

权利要求书

1.一种基于自学习路径选择的端口扫描方法，其特征在于，包括：

获取所有扫描源的地理位置；

从所有扫描源中选择N个不同的扫描源对所有待扫描主机进行第一扫描，获取每一个待扫描主机与所述N个扫描源之间的N个消息往返延时时间，其中N为大于等于3的自然数；

对于每个待扫描主机，根据N个扫描源的地理位置和N个往返延时时间计算所述待扫描主机的地理位置；

将每个待扫描主机的地理位置与所有扫描源的地理位置进行匹配，选择距离待扫描主机最近的扫描源作为所述待扫描主机对应的匹配扫描源，从而得到所有待扫描主机和所有匹配扫描源之间的映射关系；以及

对每个待扫描主机，用匹配扫描源对所述待扫描主机的端口进行第二扫描；

将所述第二扫描的总耗时，记为所述匹配扫描源对所述待扫描主机的扫描时长；

对每个扫描源与其所扫描的所有待扫描主机之间的扫描时长进行统计分析，根据统计分析的结果确定扫描时间异常的待扫描主机作为异常主机；以及

为所述异常主机重新选择匹配扫描源。

2.根据权利要求1所述的基于自学习路径选择的端口扫描方法，其特征在于，所述第一扫描包括根据Internet控制报文协议进行测试。

3.根据权利要求1所述的基于自学习路径选择的端口扫描方法，其特征在于，根据N个扫描源的地理位置和N个往返延时时间计算所述待扫描主机的地理位置包括：

根据待扫描主机到每个扫描源的消息往返延时时间和当前网络的单位距离延时时长计算所述待扫描主机到每个扫描源的距离；以及

根据所述待扫描主机到N个扫描源的距离和N个扫描源的地理位置，用三角定位方法计算所述待扫描主机的地理位置。

4.根据权利要求1所述的基于自学习路径选择的端口扫描方法，其特征在于，将待扫描主机的地理位置与所有扫描源的地理位置进行匹配，选择距离待扫描主机最近的扫描源作为所述待扫描主机对应的匹配扫描源包括：

将所有待扫描主机的地理位置和所有扫描源的地理位置应用Geohash算法转换为相应的Geohash字符串；以及

将每个待扫描主机的Geohash字符串和所有扫描源的Geohash字符串进行比对，以满足Geohash字符串最长前缀匹配的扫描源作为待扫描主机对应的匹配扫描源。

5.根据权利要求1所述的基于自学习路径选择的端口扫描方法，其特征在于，所述用匹配扫描源对所述待扫描主机的端口进行第二扫描包括：

用匹配扫描源对待扫描主机的所有端口进行遍历扫描。

6.根据权利要求1所述的基于自学习路径选择的端口扫描方法，其特征在于，对每个扫描源与其所扫描的所有待扫描主机之间的扫描时长进行统计分析，根据统计分析的结果确定扫描时间异常的待扫描主机作为异常主机包括：

计算扫描源与其所扫描的所有待扫描主机之间的扫描时长的均值μ和方差σ，并将所有对应扫描时长大于μ+3σ的待扫描主机作为异常主机。

7.根据权利要求1所述的基于自学习路径选择的端口扫描方法，其特征在于，对每个扫描源与其所扫描的所有待扫描主机之间的扫描时长进行统计分析，根据所述统计分析的结果确定扫描时间异常的待扫描主机作为异常主机包括：

将所有对应扫描时长大于预定义阈值的待扫描主机作为异常主机。

8.根据权利要求1所述的基于自学习路径选择的端口扫描方法，其特征在于，对每个扫描源与其所扫描的所有待扫描主机之间的扫描时长进行统计分析，根据所述统计分析的结果确定扫描时间异常的待扫描主机作为异常主机包括：

使用异常点检测算法对所有扫描时长进行异常点检测，将检测到的异常点的扫描时长对应的待扫描主机作为异常主机。

9.根据权利要求8所述的基于自学习路径选择的端口扫描方法，其特征在于，

所述异常点检测算法包括：基于偏差检测的聚类算法、基于单变量统计的四分位数间距概率分布算法，以及基于密度分布的局部异常因子算法中的至少一种。