[发明专利]网络中异常扫描行为的检测方法、装置、电子设备及介质

权利要求书

1.一种网络中异常扫描行为的检测方法，其特征在于，所述检测方法包括：

获取目标网络的流量监控日志和边界防护设备检测能力阈值；

基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志；

在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息；

若存在，则确定所述目标网络受到异常扫描。

2.根据权利要求1所述的检测方法，其特征在于，

所述基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志，包括：

基于源网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第一流量监控日志；和/或，

基于目的网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第二流量监控日志。

3.根据权利要求1所述的检测方法，其特征在于，所述在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息，包括：

在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设特征信息库中的至少一项特征信息。

4.根据权利要求1所述的检测方法，其特征在于，在获取目标网络的流量监控日志和边界防护设备检测能力阈值之前，所述检测方法还包括：

建立预设特征信息库；其中，所述特征信息库中包括扫描特征关键字和/或关键网址。

5.根据权利要求4所述的检测方法，其特征在于，所述建立预设特征信息库，包括：

从已知网络扫描工具对目标虚拟设备的访问流量中，提取特征信息并保存。

6.根据权利要求5所述的检测方法，其特征在于，所述从已知网络扫描工具对目标虚拟设备的访问流量中，提取特征信息并保存，包括：

获取已知网络扫描工具对目标虚拟设备的访问流量文件；

对所述访问流量文件进行还原；

从还原后的访问流量中，提取特征信息并保存。

7.一种网络中异常扫描行为的检测装置，其特征在于，所述检测装置包括：

获取模块，用于获取目标网络的流量监控日志和边界防护设备检测能力阈值；

聚合模块，用于基于预设聚合规则，对所述流量监控日志进行聚合处理，得到聚合后的流量监控日志；

判断模块，用于在所述聚合后的流量监控日志中，判断所述边界防护设备检测能力阈值以下的流量监控日志中，是否存在预设的特征信息；

确定模块，用于若存在，则确定所述目标网络受到异常扫描。

8.根据权利要求7所述的检测装置，其特征在于，所述聚合模块包括：

第一聚合单元，用于基于源网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第一流量监控日志；和/或，

第二聚合单元，用于基于目的网络协议地址，对所述流量监控日志进行聚合处理，得到聚合后的第二流量监控日志。

9.一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述权利要求1～6中所述的任一方法。

10.一种存储介质，其特征在于，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1～6中所述的任一方法的步骤。