[发明专利]一种端口检测方法及系统

说明书

本发明公开了一种端口检测方法及系统，方法包括：采集网络设备的流信息，基于采集到的流信息，对同一目的IP的目的端口的访问频率进行分别统计，计算预设时间内的平均访问频率；当访问频率大于平均访问频率的M倍时，记录目的IP和目的端口；扫描目的IP的目的端口的服务和版本信息，判断是否为高频端口，若是，则：分析所述高频端口的服务，基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口，再针对疑似异常端口进一步通过nmap工具检测、分析，增加服务级别，双重因子筛选出异常端口，并进行相应的告警。

技术领域

本发明涉及网络检测技术领域，尤其涉及一种端口检测方法及系统。

背景技术

随着网络应用的发展，需要对网络行为进行很好地管理，需要了解网络运行状况，如运行哪些端口，以及不同端口的访问频率，判断是否进行攻击等网络行为。

目前，netflow网络流量分析可以基本了解网络运行状况，以及带宽使用情况，更多的是根据源IP、目的IP、源端口、目的端口、协议等五元组信息来做分类汇总，发现疑似异常流量、异常端口；汇总分析的条件很简单，主要针对IP/flow/packet/port等，如果把这些做为异常数据报警，误报率会很高，需要更多的人工介入。nmap工具，可以利用版本检测，nmap-sV可以扫描出目标服务器IP的端口上运行的软件版本，通过解析，可获取目标服务器IP的端口、真实服务等详细信息，但是检测单个IP的所有端口的版本信息，耗时很长，需要分钟级别，更不适合企业大规模检测。netflow重点在网络流量行为的汇总分析，nmap端口扫描工具重点在端口扫描，两者均没有筛选异常端口和报警机制。

因此，如何有效的进行端口检测，是一项亟待解决的问题。

发明内容

有鉴于此，本发明提供了一种端口检测方法，能够先通过netflow初步筛选出疑似异常端口，再针对疑似异常端口进一步通过nmap工具检测、分析，增加服务级别，双重因子筛选出异常端口。

本发明提供了一种端口检测方法，包括：

采集网络设备的流信息；

基于采集到的所述流信息，对同一目的IP的目的端口的访问频率进行分别统计，计算预设时间内的平均访问频率；

当访问频率大于所述平均访问频率的M倍时，记录目的IP和目的端口；

扫描所述目的IP的目的端口的服务和版本信息，判断是否为高频端口，若是，则：

分析所述高频端口的服务，基于所述高频端口的服务生成相应的告警信息。

优选地，在所述采集网络设备的流信息之前，还包括：

对端口进行服务分级，其中，所述服务分级包括：普通服务、敏感服务和弱密码服务。

优选地，所述分析所述高频端口的服务，基于所述高频端口的服务生成相应的告警信息，包括：

当所述高频端口的服务为敏感服务时，生成敏感服务告警信息。

优选地，所述分析所述高频端口的服务，基于所述高频端口的服务生成相应的告警信息，包括：

当所述高频端口的服务为弱密码服务时，生成弱密码服务告警信息。

优选地，所述分析所述高频端口的服务，基于所述高频端口的服务生成相应的告警信息，包括：

当所述高频端口的服务为普通服务时，判断访问频率是否连续N次超过所述平均访问频率，若是，则生成普通服务告警信息。

一种端口检测系统，包括：

信息采集模块，用于采集网络设备的流信息；