[发明专利]扫描器识别方法及装置、电子设备、存储介质

权利要求书

1.一种扫描器识别方法，其特征在于，包括：

在特征向量空间中构建出与待检测流量的源IP地址相关联的待检测特征向量；

确定所述待检测特征向量与预先创建的扫描器检测模型中对应于扫描器的第一聚类中心、对应于非扫描器的第二聚类中心的相对位置关系，所述第一聚类中心和所述第二聚类中心通过对样本特征向量进行聚类分析得到，所述样本特征向量基于扫描器和非扫描器发送的样本流量得到；

根据所述相对位置关系确定所述待检测特征向量中与所述第一聚类中心相匹配的的目标特征向量，并判定所述待检测流量中源IP地址为与所述目标特征向量相关联的IP地址的流量由扫描器发送。

2.根据权利要求1所述的方法，其特征在于，所述在特征向量空间中构建出与待检测流量的源IP地址相关联的待检测特征向量，包括：

统计所述待检测流量的源IP地址所对应的特征数据，所述特征数据包括：不同目的IP的数量、不同目的端口的数量、同一流量中目的IP与目的端口之间组合的数量、发起请求的次数；

基于统计得到的特征数据建立与所述源IP地址相关联的待检测特征向量。

3.根据权利要求1所述的方法，其特征在于，所述根据所述相对位置关系确定所述待检测特征向量中与所述第一聚类中心相匹配的的目标特征向量，包括：

确定出待检测特征向量的端点位置和第一聚类中心的第一距离，以及所述端点位置和第二聚类中心的第二距离；

将所述第一距离小于所述第二距离的待检测特征向量确定为目标特征向量。

4.一种扫描器检测模型的训练方法，其特征在于，包括：

获取基于扫描器和非扫描器发送的样本流量；

在特征向量空间中构建出与所述样本流量的源IP地址相关联的样本特征向量；

对所述特征向量空间中的样本特征向量进行聚类分析，以得到对应于扫描器的第一聚类中心和对应于非扫描器的第二聚类中心；并将所述第一聚类中心和所述第二聚类中心作为所述扫描器检测模型的训练结果。

5.根据权利要求4所述的方法，其特征在于，所述在特征向量空间中构建出与所述样本流量的源IP地址相关联的样本特征向量，包括：

统计所述样本流量的源IP地址所对应的特征数据，所述特征数据包括：不同目的IP的数量、不同目的端口的数量、同一流量中目的IP与目的端口之间组合的数量、发起请求的次数；

基于统计得到的特征数据建立与所述源IP地址相关联的样本特征向量。

6.根据权利要求4所述的方法，其特征在于，

还包括：对所述样本特征向量进行标准化处理；

所述对所述特征向量空间中的样本特征向量进行聚类分析，包括：对标准化处理后的样本特征向量进行聚类分析。

7.根据权利要求4所述的方法，其特征在于，所述对所述特征向量空间中的样本特征向量进行聚类分析，以得到对应于扫描器的第一聚类中心和对应于非扫描器的第二聚类中心，包括：

按照预设比例随机将所述样本特征向量划分为训练集和测试集；

通过聚类算法对训练集中的样本特征向量进行聚类分析，以得到对应于扫描器的第一备选聚类中心和对应于非扫描器的第二备选聚类中心；

基于预先确定的针对所述测试集中的样本特征向量的识别结果，对所述第一备选聚类中心和所述第二备选聚类中心进行评估；

当评估结果达到预设标准时，将所述第一备选聚类中心和第二备选聚类中心确定为所述扫描器检测模型的训练结果。

8.根据权利要求4所述的方法，其特征在于，所述样本流量包括TCP流量。