一种扫描探测事件确定方法、装置及电子设备与流程

1.本技术涉及网络安全技术领域，尤其涉及一种扫描探测事件确定方法、装置、电子设备及可读存储介质。


背景技术：

2.随着互联网的快速发展，人们在享受网络带来便利的同时，也带来了安全隐患，其中，渗透攻击通过扫描探测进行信息收集，通过扫描探测，可以获取目标网络内主机的开放信息、端口开放信息和其它信息，获取到足够的信息，可以大大增加渗透攻击的成功率，为发现渗透攻击活动保证网络安全，现有技术中，对扫描探测的检测手段需要花费大量的人力，检测效率较低。


技术实现要素：

3.有鉴于此，本技术实施例提供一种扫描探测事件确定方法、装置、电子设备及可读存储介质，能够提高对扫描探测事件的检测效率。
4.第一方面，本技术实施例提供一种扫描探测事件确定方法，包括：获取待分析流量中的报文；提取所述待分析流量中的报文中各条报文的源ip地址；根据所述各条报文中的源ip地址，对从所述待分析流量中获取的各条报文进行分类；同一类别下的各条报文对应的源ip地址相同；基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
5.根据本技术实施例的一种具体实现方式，所述基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，包括：基于地址类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
6.根据本技术实施例的一种具体实现方式，所述基于地址类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，包括：从所述第一类别下的各条报文中，确定协议信息为ip协议的第一报文；确定各条第一报文的目的ip地址；在所述各条第一报文的目的ip地址中，确定是否存在多个目标ip地址；如果存在多个目标ip地址，则确定所述多个目标ip地址是否至少部分连续；基于所述多个目标ip地址是否至少部分连续，确定是否发生扫描探测事件。
7.根据本技术实施例的一种具体实现方式，所述基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，包括：基于端口类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
8.根据本技术实施例的一种具体实现方式，所述基于端口类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，包括：从所述第一类别的各条报文中，确定协议信息为tcp协议或udp协议的第二报文；确定各条第二报文的目的ip地址；在确定的各条第二报文的目的ip地址中，确定同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口；基于同一目的ip地址对应的多个目的端口是否
连续，和/或是否为预设端口集中的端口，确定是否发生扫描探测事件。
9.根据本技术实施例的一种具体实现方式，所述基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，包括：基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
10.根据本技术实施例的一种具体实现方式，所述基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，包括：从所述第一类别的各条报文中，确定协议信息为http协议的第三报文；确定各条第三报文的目的ip地址；基于预设的恶意ip地址集，确定各条第三报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例是否大于第三预设值，确定是否发生扫描探测事件；和/或，确定各条第三报文的域名；基于预设的恶意域名集，确定各条第三报文的域名是否为恶意域名，并确定所述恶意域名在确定的各条第三报文的域名中所占的比例；基于所述恶意域名在各条第三报文的域名中所占的比例是否大于第四预设值，确定是否发生扫描探测事件。
11.根据本技术实施例的一种具体实现方式，所述基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，包括：确定所述第一类别下的各条报文的目的ip地址；基于预设的恶意ip地址集，确定所述第一类别下的各条报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例是否大于第五预设值，确定是否发生扫描探测事件。
12.第二方面，本技术实施例提供扫描探测事件确定装置，包括：获取模块，用于获取待分析流量中的报文；提取模块，用于提取所述待分析流量中的报文中各条报文的源ip地址；分类模块，用于根据所述各条报文中的源ip地址，对从所述待分析流量中获取的各条报文进行分类；同一类别下的各条报文对应的源ip地址相同；确定模块，用于基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
13.根据本技术实施例的一种具体实现方式，所述确定模块，包括：第一确定子模块，用于基于地址类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
14.根据本技术实施例的一种具体实现方式，所述第一确定子模块，具体用于：从所述第一类别下的各条报文中，确定协议信息为ip协议的第一报文；确定各条第一报文的目的ip地址；在所述各条第一报文的目的ip地址中，确定是否存在多个目标ip地址；如果存在多个目标ip地址，则确定所述多个目标ip地址是否至少部分连续；基于所述多个目标ip地址是否至少部分连续，确定是否发生扫描探测事件。
15.根据本技术实施例的一种具体实现方式，所述确定模块，包括：第二确定子模块，用于基于端口类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
16.根据本技术实施例的一种具体实现方式，所述第二确定子模块，具体用于：从所述第一类别的各条报文中，确定协议信息为tcp协议或udp协议的第二报文；确定各条第二报文的目的ip地址；在确定的各条第二报文的目的ip地址中，确定同一目的ip地址对应的多
个目的端口是否连续，和/或是否为预设端口集中的端口；基于同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口，确定是否发生扫描探测事件。
17.根据本技术实施例的一种具体实现方式，所述确定模块，包括：第三确定子模块，用于基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
18.根据本技术实施例的一种具体实现方式，所述第三确定子模块，具体用于：从所述第一类别的各条报文中，确定协议信息为http协议的第三报文；确定各条第三报文的目的ip地址；基于预设的恶意ip地址集，确定各条第三报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例是否大于第三预设值，确定是否发生扫描探测事件；和/或，确定各条第三报文的域名；基于预设的恶意域名集，确定各条第三报文的域名是否为恶意域名，并确定所述恶意域名在确定的各条第三报文的域名中所占的比例；基于所述恶意域名在各条第三报文的域名中所占的比例是否大于第四预设值，确定是否发生扫描探测事件。
19.根据本技术实施例的一种具体实现方式，所述第三确定子模块，具体用于：确定所述第一类别下的各条报文的目的ip地址；基于预设的恶意ip地址集，确定所述第一类别下的各条报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例是否大于第五预设值，确定是否发生扫描探测事件。
20.第三方面，本技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的扫描探测事件确定方法。
21.第四方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的扫描探测事件确定方法。
22.本实施例的扫描探测事件确定方法、装置、电子设备及可读存储介质，通过获取待分析流量中的报文，并提取待分析流量中的报文中各条报文的源ip地址，再根据各条报文中的源ip地址，对从待分析流量中获取的各条报文进行分类，最后，基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，本实施例的扫描探测事件确定方法的实施，能够通过获取流量中的报文，并对报文进行处理，确定扫描探测事件是否发生，在这个过程中无需人工参与，能够提高对扫描探测事件的检测效率。
附图说明
23.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以
根据这些附图获得其它的附图。
24.图1为本技术一实施例提供的扫描探测事件确定方法的流程示意图；
25.图2为本技术一实施例提供的扫描探测事件确定装置的结构示意图；
26.图3为本技术一实施例提供的电子设备的结构示意图。
具体实施方式
27.下面结合附图对本技术实施例进行详细描述。应当明确，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
28.在渗透攻击活动时，scanport、nmap、zenmap、unicornscan一类的专业扫描探测工具常在信息收集阶段被使用，用来获取目标网络中主机信息。攻击者可以通过扫描结果针对性的对某些主机上的数个服务发起渗透攻击。而扫描探测工具在运行时会产生大量的端口扫描类流量，这会占用大量的网络资源，影响目标网络的正常运行。为了及时准确地确定扫描探测事件是否在进行，发明人在研究过程中，对常见的扫描探测事件进行整理归纳。
29.常见的扫描探测事件可分为主机扫描探测和端口扫描探测。
30.其中，主机扫描探测可分为arp协议探测和icmp协议探测，其中，
31.1、arp协议探测的特点：arp协议只可以在局域网内使用，但是扫描准确度高。若一个地址依次对内网网段的地址发起arp request请求，则发起扫描的主机可能被为被控机器。如果ip存在，该ip会通过arp回应攻击ip，发送自己的mac地址与对应的ip。
32.2、icmp协议探测的特点：一个ip在短时间内向同一个网段发起ping请求，如果ip存在，则返回ping reply。则可以考虑这个发起请求的ip地址为扫描器。
33.端口扫描探测(端口扫描一般与地址扫描相结合)的特点：短时间内一个ip地址连续向一个ip发起多次tcp/udp请求，目标端口可能为连续的端口，也可能是一些常用的端口，则源地址为扫描器，目标地址为被扫描的地址。
34.端口扫描探测可以包括tcp端口扫描和udp端口扫描，其中，
35.tcp端口扫描包括：全连接扫描、半连接扫描和tcp fin扫描，其中，
36.1.全连接扫描的特点：扫描方发送syn报文，若被扫描的地址端口开启，则被探测的ip则会返回syn+ack报文，最后扫描端会返回rst+ack。如果目标端口未开启，则被探测的ip会返回rst+ack报文。
37.2.半连接扫描的特点：扫描方发送syn报文，如果端口开启，目标主机回应syn+ack包，攻击方再发送rst包。如果端口未开启，目标主机直接返回rst包结束会话。
38.3.tcp fin扫描的特点：扫描方发送fin包，目标主机没有任何响应时认为端口是开放的，返回数据包认为是关闭的。如果端口关闭则返回rst+ack包。
39.udp端口扫描的特点：扫描方发送udp数据包，如果对应的udp端口开启，则会返回udp数据包，如果端口未开启，则icmp端口不可达信息。
40.至少基于上述扫描探测的特点及扫描探测产生的流量，本技术提供一种扫描探测事件确定方法，能够快速准确地检测扫描探测事件。
41.为使本领域技术人员更好地理解本技术实施例的技术构思、实施方案和有益效果，下面通过具体实施例进行详细说明。
42.本技术一实施例提供的一种扫描探测事件确定方法，包括：获取待分析流量中的报文；提取所述待分析流量中的报文中各条报文的源ip地址；根据所述各条报文中的源ip地址，对从所述待分析流量中获取的各条报文进行分类；同一类别下的各条报文对应的源ip地址相同；基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，能够提高扫描探测事件的检测效率。
43.图1为本技术一实施例提供的扫描探测事件确定方法的流程示意图，如图1所示，本实施例的扫描探测事件确定方法，可以包括：
44.s101、获取待分析流量中的报文。
45.可以获取待分析流量中的全部报文，进一步地，可以包括多条报文。
46.本实施例中，可以利用流量监测系统监测的网络流量，获取一段时间内的待分析流量。
47.s102、提取待分析流量中的报文中各条报文的源ip地址。
48.ip地址(internet protocol address)可指互联网协议地址，又译为网际协议地址。ip地址是ip协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。
49.每条报文中可以包括源ip地址。源ip地址可为报文由该ip地址向目的ip地址传送。
50.s103、根据各条报文中的源ip地址，对从待分析流量中获取的各条报文进行分类。
51.本实施例中的同一类别下的各条报文对应的源ip地址相同，例如第一条报文的源ip地址为a，第二条报文的源ip地址为b，第三条报文的源ip地址为a，则将第一条报文和第三条报文划分到同一类别中，第二条报文划分到另一类别中。
52.s104、基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
53.第一类别包括的各条报文的源ip地址相同。
54.基于预设的扫描探测检测规则，对分到一个类别下的各条报文进行检测，以确定是否发生扫描探测事件。
55.本实施例，通过获取待分析流量中的报文，并提取待分析流量中的报文中各条报文的源ip地址，再根据各条报文中的源ip地址，对从待分析流量中获取的各条报文进行分类，最后，基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，本实施例的扫描探测事件确定方法的实施，能够通过获取流量中的报文，并对报文进行处理，确定扫描探测事件是否发生，在这个过程中无需人工参与，提高对扫描探测事件的检测效率，此外，能够提高检测的准确性，并且，本实施例的方法依赖报文确定是否发生扫描探测时间，适应性较高。
56.在确定发生扫描探测事件后，可采取应对措施，具体的应对措施可针对具体的场景及需求确定，如基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定发生扫描探测事件，则可对第一类别对应的源ip地址产生的信息进行拦截，进一步地，也可分析该源ip地址是否被控。
57.基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定发生扫描探测事件，还可以从待分析流量中的报文将第一类别下的各条报文取出，以实现对待分
析流量中的报文的筛选。
58.为了有针对性地确定是否发生扫描探测事件，本技术又一实施例，与上述实施例基本相同，不同之处在于，本实施例的基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件(s104)，可以包括：
59.s104a、基于地址类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
60.在一些例子中，基于地址类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件(s104a)，可以包括：
61.a1、从第一类别下的各条报文中，确定协议信息为ip协议的第一报文。
62.在划分到一个类别的各条报文中，筛选协议为ip协议的报文，作为第一报文。
63.a2、确定各条第一报文的目的ip地址。
64.在协议为ip协议的报文中，确定每条报文的目的ip地址，目的ip地址可为报文由源ip地址向该ip地址传送。
65.本实施例中的各条第一报文的目的ip地址的确定，可通过提取的第一报文的目的ip地址确定，而提取第一报文的目的ip地址可在本步骤中进行，也可在s102中提取各条报文的源ip地址的同时，提取各条报文的目的ip地址。
66.a3、在各条第一报文的目的ip地址中，确定是否存在多个目标ip地址。
67.多个目标ip地址可以为两个目标ip地址，三个目标ip地址、五个目标ip地址等等。
68.在一具体实施例中，第一报文a的目的ip地址为a，第一报文b的目的ip地址为b，第一报文c的目的ip地址为a，则可以确定，针对第一报文a、第一报文b和第一报文c的目标ip地址为a和b。
69.a4、如果存在多个目标ip地址，则确定所述多个目标ip地址是否至少部分连续。
70.具体地，目标ip地址分别为c、d、e和f，如果c、d、e和f中任意两个都不连续，则多个目标ip地址中不存在部分连续的ip地址；如果c、d、e和f中至少两个为连续的ip地址，则多个目标ip地址存在部分连续的ip地址。
71.在一些例子中，如果存在多个目标ip地址，则确定所述多个目标ip地址是否至少部分连续(a4)，可以包括：
72.a4a、在各条第一报文的目的ip地址中，确定与每个目标ip地址对应的目的ip地址的个数。
73.如果在a3步骤中，确定存在多个目标ip地址，则在所有的第一报文的目的ip地址中，确定与每个目标ip地址对应的目的ip地址对应的个数。
74.在步骤a3的具体实施例的基础上，与目标ip地址a对应的目的ip地址的个数为两个，与目标ip地址b对应的目的ip地址的个数为一个。
75.a4b、如果每个目标ip地址下的目的ip地址的个数小于第一预设值，再进一步判断多个目标ip地址是否至少部分连续。
76.第一预设值可为8、10、15或20等等。
77.在每个目标ip地址下的目的ip地址的个数小于第一预设值的情况下，再进一步判断多个目标ip地址是否为至少部分连续的ip地址。
78.a5、基于多个目标ip地址是否至少部分连续，确定是否发生扫描探测事件。
79.根据多个目标ip地址是否至少部分连续，可以确定是否发生扫描探测事件。
80.当多个目标ip地址至少部分连续，可以确定发生扫描探测事件。
81.当多个目标ip地址不存在至少部分连续的ip地址，可以确定未发生扫描探测事件。
82.同样，为了有针对性地确定是否发生扫描探测事件，本技术又一实施例，与上述实施例基本相同，不同之处在于，本实施例的基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件(s104)，可以包括：
83.s104b、基于端口类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
84.在一些例子中，基于端口类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件(s104b)，可以包括：
85.b1、从第一类别的各条报文中，确定协议信息为tcp协议或udp协议的第二报文。
86.tcp协议(transmission control protocol)即传输控制协议，可为在不可靠的互联网络上提供可靠的端到端字节流而专门设计的传输协议。
87.udp协议(user datagram protocol)即用户数据报协议，是osi(open system interconnection，开放式系统互联)参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。
88.本实施例中，在第一类别的各条报文中，筛选协议为tcp或udp的报文，作为第二报文。
89.b2、确定各条第二报文的目的ip地址。
90.本实施例中的各条第二报文的目的ip地址的确定，可通过提取的第二报文的目的ip地址确定，而提取第二报文的目的ip地址可在本步骤中进行，也可在s102中提取各条报文的源ip地址的同时，提取各条报文的目的ip地址。
91.b3、在确定的各条第二报文的目的ip地址中，确定同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口。
92.同一目的ip地址a对应的多个目的端口分别为b、c和d，确定b、c和d是否连续，和/或是否为预设端口集中的端口。
93.预设端口集可包括如21端口、23端口、80端口等常用服务端口。
94.在一些例子中，在确定的各条第二报文的目的ip地址中，确定同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口(b3)，可以包括：
95.b3a、在确定的各条第二报文的目的ip地址中，确定同一目的ip地址出现的次数。
96.在一具体实施例中，一条第二报文a的目的ip地址为a，而第二报文b的目的ip地址为b，第二报文c的目的ip地址为a，则可以确定，在第二报文a、第二报文b和第二报文c中的目的ip中，目的ip地址a出现的次数为两次，目的ip地址b出现的次数为一次。
97.b3b、如果同一目的ip地址出现的次数大于第二预设值，再进一步判断同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口。
98.第二预设值可为10次、15次或30次等等。
99.在第一目的ip地址出现的次数大于第二预设值的情况下，确定同一目的ip地址对应的多个目的端口，并进一步判断该多个目的端口是否连续，和/或该多个目的端口否为预
设端口集中的端口。
100.同一目的ip地址对应的多个目的端口中的任意两个目的端口均不相同，也可部分目的端口相同。
101.b4、基于同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口，确定是否发生扫描探测事件。
102.如果与所述第一目的ip地址对应的多个目的端口连续，和/或为预设端口集中的端口，则确定发生扫描探测事件。
103.如果与所述第一目的ip地址对应的多个目的端口不连续，和/或不为预设端口集中的端口，则确定未发生扫描探测事件。
104.同样，为了有针对性地确定是否发生扫描探测事件，本技术再一实施例，与上述实施例基本相同，不同之处在于，本实施例的基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件(s104)，可以包括：
105.s104c、基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
106.在一些例子中，基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件(s104c)，可以包括：
107.c1、从第一类别的各条报文中，确定协议信息为http协议的第三报文。
108.在第一类别的各条报文中，筛选协议为http协议的报文，作为第三报文。
109.http协议(hyper text transfer protocol，http)即超文本传输协议，可为简单的请求-响应协议，它通常运行在tcp之上，指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。
110.c2、确定各条第三报文的目的ip地址。
111.本实施例中的各条第三报文的目的ip地址的确定，可通过提取的第三报文的目的ip地址确定，而提取第三报文的目的ip地址可在本步骤中进行，也可在s102中提取各条报文的源ip地址的同时，提取各条报文的目的ip地址。
112.c3、基于预设的恶意ip地址集，确定各条第三报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例。
113.可将各条第三报文的目的ip地址与预设的恶意ip地址集进行匹配，确定各条第三报文的目的ip地址是否为恶意目的ip地址。
114.在预设的恶意ip地址集中包括恶意的ip地址，如果第三报文的目的ip地址与预设的恶意ip地址集中的恶意的ip地址匹配，可进一步统计各条第三报文的目的ip地址为恶意ip地址的个数，如各条第三报文的目的ip地址中为恶意ip地址的个数为m，第三报文的目的ip地址的总个数为n，则所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例为m/n。
115.c4、基于恶意目的ip地址在各条第三报文的目的ip地址中所占的比例是否大于第三预设值，确定是否发生扫描探测事件。
116.第三预设值可为50％、70％或90％等等。
117.当恶意目的ip地址在各条第三报文的目的ip地址中所占的比例大于等于第三预设值，确定发生扫描探测事件。
118.当恶意目的ip地址在各条第三报文的目的ip地址中所占的比例小于第三预设值，确定未发生扫描探测事件。
119.作为一可替换的实施方式，上述实施例中的c2-c4可替换为如下的步骤：
120.d2、确定各条第三报文的域名。
121.域名(domain name)，是由一串用点分隔的名字组成的internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位。
122.本实施例中的各条第三报文的域名的确定，可通过提取的第三报文的域名确定，而提取第三报文的域名可在本步骤中进行，也可在s102中提取各条报文的源ip地址的同时，提取各条报文的域名。
123.d3、基于预设的恶意域名集，确定各条第三报文的域名是否为恶意域名，并确定恶意域名各条第三报文的域名中所占的比例。
124.在预设的恶意域名集中包括恶意域名，如果第三报文的域名与预设的恶意域名集中的恶意域名匹配，可进一步统计各条第三报文的域名为恶意域名的个数，如各条第三报文的域名中为恶意域名的个数为j，第三报文的域名的总个数为h，则所述恶意域名在各条第三报文的域名中所占的比例为j/h。
125.d4、基于所述恶意域名在确定的各条第三报文的域名中所占的比例是否大于第四预设值，确定是否发生扫描探测事件。
126.第四预设值可为60％、80％或90％等等。
127.当恶意域名在各条第三报文的域名中所占的比例大于等于第四预设值，确定发生扫描探测事件。
128.当恶意域名在各条第三报文的域名中所占的比例小于第四预设值，确定未发生扫描探测事件。
129.在又一些例子中，基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件(s104c)，可以包括：
130.e1、确定第一类别下的各条报文的目的ip地址。
131.本实施例中第一类别下的各条报文的目的ip地址的确定，可通过提取各条报文的目的ip地址确定，而提取目的ip地址可在本步骤中进行，也可在s102中提取各条报文的源ip地址的同时，提取各条报文的目的ip地址。
132.e2、基于预设的恶意ip地址集，确定第一类别下的各条报文的目的ip地址是否为恶意目的ip地址，并确定恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例。
133.在预设的恶意ip地址集中包括恶意ip地址，各条报文的目的ip地址与预设的恶意ip地址集中的恶意ip地址，可进一步统计各条报文的目的ip地址为恶意ip地址的个数，如各条报文的目的ip地址中为恶意ip地址的个数为k，各条报文的目的ip地址的总个数为l，则确定所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例为k/l。
134.e3、基于恶意目的ip地址在第一类别下的各条报文的目的ip地址中所占的比例是否大于第五预设值，确定是否发生扫描探测事件。
135.第五预设值可为70％、80％或90％等等。
136.当恶意目的ip地址在第一类别下的各条报文的目的ip地址中所占的比例大于等于第五预设值，确定发生扫描探测事件。
137.当恶意目的ip地址在第一类别下的各条报文的目的ip地址中所占的比例小于第五预设值，确定未发生扫描探测事件。
138.下面以一具体实施例，对本技术的方案进行详细说明。
139.本实施例的扫描探测事件确定方法，可以包括：
140.1、数据提取
141.截取一段待分析流量，从网络层提取源ip、目的ip以及协议号；从传输层提取源端口号、目的端口号、协议名称和返回值。
142.2、数据处理
143.按照不同的源ip进行分类。
144.3、特征分类
145.特征一：对数据处理后的每个源ip所在的报文组进行依次分析，筛选协议为ip的报文，若多个ip作为目的ip且每个目的ip出现次数很少，且多个ip地址为连续的ip地址。
146.特征二：对数据处理后的每个源ip所在的报文组进行依次分析，筛选协议为tcp或udp的报文，若某个ip多次作为目的ip，且每条报文的目的端口都不相同，并且众多目的端口连续或者多个端口为常用服务的端口。
147.特征三：对数据处理后的每个源ip所在的报文组进行依次分析，对目的ip进行汇总，对汇总后的目的ip进行威胁情报匹配，并且ip被判定为恶意ip的比例较大。
148.特征四：对数据处理后的每个源ip所在的报文组进行依次分析，协议为http协议。对返回内容中的域名和目的ip进行提取，并且域名和ip经过威胁情报匹配后，恶意域名或者ip的比例较大。
149.4、事件判定
150.若某组流量符合特征一，则判定为主机存活性探测类事件；若某组流量符合特征二，则判定为端口存活性探测类事件；若某组流量符合特征三，则判定为恶意主机探测类事件；若某组流量符合特征四，则判定为恶意域名探测类事件。
151.本实施例通过基于报文的扫描探测事件发现方法，可将各种扫描探测事件归类建模，将流量特征归类为四种模型，常规的扫描探测检测手段需要花费大量的人力资源，而依据此种基于报文的扫描探测类事件的发现方法，可以快速、准确发现扫描探测类事件及渗透攻击活动，并及时采取应对措施，进一步地，可对恶意行为进行追踪溯源。
152.本技术的扫描探测事件确定方法，通过获取待分析流量中的报文，并提取待分析流量中的报文中各条报文的源ip地址，再根据各条报文中的源ip地址，对从待分析流量中获取的各条报文进行分类，最后，基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，本实施例的扫描探测事件确定方法的实施，能够通过获取流量中的报文，并对报文进行处理，确定扫描探测事件是否发生，在这个过程中无需人工参与，提高对扫描探测事件的检测效率，此外，能够提高检测的准确性，为了有针对性的确定是否发生扫描探测事件，可分别基于地址类扫描探测检测规则、基于端口类扫描探测检测规则以及基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，具体地，在基于地址类扫描探测检测规则时，可从第一类别下的各
条报文中，确定协议信息为ip协议的第一报文，并确定各条第一报文的目的ip地址，在所述各条第一报文的目的ip地址中，确定是否存在多个目标ip地址，如果存在多个目标ip地址，则确定所述多个目标ip地址是否至少部分连续，基于所述多个目标ip地址是否至少部分连续，确定是否发生扫描探测事件；在基于端口类扫描探测检测规则时，从所述第一类别的各条报文中，确定协议信息为tcp协议或udp协议的第二报文；确定各条第二报文的目的ip地址；在确定的各条第二报文的目的ip地址中，确定同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口；基于同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口，确定是否发生扫描探测事件；在基于威胁类扫描探测检测规则时，从所述第一类别的各条报文中，确定协议信息为http协议的第三报文；确定各条第三报文的目的ip地址；基于预设的恶意ip地址集，确定各条第三报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例是否大于第三预设值，确定是否发生扫描探测事件，在基于威胁类扫描探测检测规则时，还可以确定所述第一类别下的各条报文的目的ip地址；基于预设的恶意ip地址集，确定所述第一类别下的各条报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例是否大于第五预设值，确定是否发生扫描探测事件。
153.本技术一实施例提供的扫描探测事件确定装置，包括：获取模块，用于获取待分析流量中的报文；提取模块，用于提取所述待分析流量中的报文中各条报文的源ip地址；分类模块，用于根据所述各条报文中的源ip地址，对从所述待分析流量中获取的各条报文进行分类；同一类别下的各条报文对应的源ip地址相同；确定模块，用于基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，能够提高对扫描探测事件的检测效率。
154.图2为本技术一实施例提供的扫描探测事件确定装置的结构示意图，如图2所示，本实施例的扫描探测事件确定装置，可以包括：获取模块11，用于获取待分析流量中的报文；提取模块12，用于提取所述待分析流量中的报文中各条报文的源ip地址；分类模块13，用于根据所述各条报文中的源ip地址，对从所述待分析流量中获取的各条报文进行分类；同一类别下的各条报文对应的源ip地址相同；确定模块14，用于基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
155.本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
156.本实施例的装置，通过获取待分析流量中的报文，并提取待分析流量中的报文中各条报文的源ip地址，再根据各条报文中的源ip地址，对从待分析流量中获取的各条报文进行分类，最后，基于预设的扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件，本实施例的扫描探测事件确定方法的实施，能够通过获取流量中的报文，并对报文进行处理，确定扫描探测事件是否发生，在这个过程中无需人工参与，提高对扫描探测事件的检测效率。
157.作为一可选实施方式，所述确定模块，包括：第一确定子模块，用于基于地址类扫
描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
158.作为一可选实施方式，所述第一确定子模块，具体用于：从所述第一类别下的各条报文中，确定协议信息为ip协议的第一报文；确定各条第一报文的目的ip地址；在所述各条第一报文的目的ip地址中，确定是否存在多个目标ip地址；如果存在多个目标ip地址，则确定所述多个目标ip地址是否至少部分连续；基于所述多个目标ip地址是否至少部分连续，确定是否发生扫描探测事件。
159.作为一可选实施方式，所述确定模块，包括：第二确定子模块，用于基于端口类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
160.作为一可选实施方式，所述第二确定子模块，具体用于：从所述第一类别的各条报文中，确定协议信息为tcp协议或udp协议的第二报文；确定各条第二报文的目的ip地址；在确定的各条第二报文的目的ip地址中，确定同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口；基于同一目的ip地址对应的多个目的端口是否连续，和/或是否为预设端口集中的端口，确定是否发生扫描探测事件。
161.作为一可选实施方式，所述确定模块，包括：第三确定子模块，用于基于威胁类扫描探测检测规则，对第一类别下的各条报文进行检测，确定是否发生扫描探测事件。
162.作为一可选实施方式，所述第三确定子模块，具体用于：从所述第一类别的各条报文中，确定协议信息为http协议的第三报文；确定各条第三报文的目的ip地址；基于预设的恶意ip地址集，确定各条第三报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在各条第三报文的目的ip地址中所占的比例是否大于第三预设值，确定是否发生扫描探测事件；和/或，确定各条第三报文的域名；基于预设的恶意域名集，确定各条第三报文的域名是否为恶意域名，并确定所述恶意域名在确定的各条第三报文的域名中所占的比例；基于所述恶意域名在各条第三报文的域名中所占的比例是否大于第四预设值，确定是否发生扫描探测事件。
163.作为一可选实施方式，所述第三确定子模块，具体用于：确定所述第一类别下的各条报文的目的ip地址；基于预设的恶意ip地址集，确定所述第一类别下的各条报文的目的ip地址是否为恶意目的ip地址，并确定所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例；基于所述恶意目的ip地址在所述第一类别下的各条报文的目的ip地址中所占的比例是否大于第五预设值，确定是否发生扫描探测事件。
164.上述实施例的装置，可以用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
165.图3为本技术一实施例提供的电子设备的结构示意图，如图3所示，可以包括：壳体61、处理器62、存储器63、电路板64和电源电路65，其中，电路板64安置在壳体61围成的空间内部，处理器62和存储器63设置在电路板64上；电源电路65，用于为上述电子设备的各个电路或器件供电；存储器63用于存储可执行程序代码；处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例提供的任一种扫描探测事件确定方法，因此也能实现相应的有益技术效果，前文已经进行了详细说明，此处不再赘述。
166.上述电子设备以多种形式存在，包括但不限于：
167.(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
168.(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
169.(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
170.(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
171.(5)其他具有数据交互功能的电子设备。
172.相应的，本技术的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例提供的任一种扫描探测事件确定方法，因此也能实现相应的技术效果，前文已经进行了详细说明，此处不再赘述。
173.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
174.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
175.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
176.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本技术时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
177.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
178.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。