(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111383518.4 (22)申请日 2021.11.22 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 张平安　徐自全　 (74)专利代理 机构 北京金信知识产权代理有限 公司 11225 代理人 喻嵘 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种地址扫描行为检测方法及装置 (57)摘要 本发明实施例提供一种地址扫描行为检测 方法及装置， 所述方法包括： 获得待测流量报文； 至少确定 所述待测流量报文的目的IP； 确定主机 访问表中是否记录有所述目的IP， 所述主机访问 表基于正常流量报文的访问信息建立， 所述主机 访问表中记录有与所述正常流量报文相关地IP 信息； 若所述主机访问表中未记录所述目的IP， 则确定所述待测流量报文的源IP； 至少确定对应 所述源IP发起访问 的速率； 基于所述速率确定所 述待测流量报文是否属于地址扫描行为。 本发明 的地址扫描行为检测方法能够更快速、 高效地对 待测流量进行地址扫描行为的检测， 且检测精度 高。 权利要求书2页 说明书8页 附图4页 CN 114070633 A 2022.02.18 CN 114070633 A 1.一种地址扫描行为检测方法， 其特 征在于， 包括： 获得待测流 量报文； 至少确定所述待测流 量报文的目的IP； 确定主机访问表中是否记录有所述目的IP， 所述主机访问表基于正常流量报文的访问 信息建立， 所述主机访问表中记录有与所述 正常流量报文相关地 IP信息； 若所述主机访问表中未记录所述目的IP， 则确定所述待测流 量报文的源IP； 至少确定对应所述源IP发起访问的速率； 基于所述速率确定所述待测流 量报文是否属于地址扫描行为。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 获得正常流 量报文； 解析所述正常流量报文， 确定所述整成流 量报文的源IP、 目的IP； 基于所述 正常流量报文的源IP、 目的IP建立所述主机访问表； 记录对应所述正常流量报文的源IP、 目的IP的访问次数， 并将所述访问次数写入所述 主机访问表中。 3.根据权利要求1所述的方法， 其特 征在于， 还 包括： 在确定所述待测流量报文为正常流量报文， 且所述待测流量报文未记录在所述主机访 问表中时， 至少记录所述待测流 量报文的源IP、 目的IP至所述主机访问表中。 4.根据权利要求1所述的方法， 其特 征在于， 还 包括： 确定所述待测流量报文的源IP是否记录在可疑地址表中， 所述可疑地址表用于记录确 定发起了地址扫描行为， 以及疑似发起了地址扫描行为的IP地址； 若记录在所述可疑地址表中， 则计算由所述待测流 量报文的源IP发起访问的速率。 5.根据权利要求 4所述的方法， 其特 征在于， 还 包括： 若未记录在所述可疑地址表中， 则将所述待测流量报文的源IP地址记录在所述可疑地 址表中。 6.根据权利要求1所述的方法， 其特征在于， 所述基于所述速率确定所述待测流量报文 是否属于地址扫描行为， 包括： 基于所述速率与设定的阈值进行比对， 基于比对结果确定所述待测流量报文是否属于 地址扫描行为。 7.根据权利要求3所述的方法， 其特 征在于， 还 包括： 确定所述主机访问表中记录的信 息在所述主机访问表中存储的时长， 若所述 时长超出 时间阈值， 则对所述信息进行清零。 8.一种地址扫描行为检测装置， 其特 征在于， 包括： 第一获得模块， 用于获得待测流 量报文； 第一确定模块， 用于 至少确定所述待测流 量报文的目的IP； 第二确定模块， 用于确定主机访 问表中是否记录有所述目的IP， 所述主机访 问表基于 正常流量报文的访问信息 建立， 所述主机访问表中记录有与所述正常流量报文相关地IP信 息； 第三确定模块， 用于在所述主机访 问表中未记录所述目的IP时， 确定所述待测流量报 文的源IP；权　利　要　求　书 1/2 页 2 CN 114070633 A 2计算模块， 用于 至少确定对应所述源IP发起访问的速率； 判断模块， 用于根据所述速率确定所述待测流 量报文是否属于地址扫描行为。 9.根据权利要求1所述的地址扫描行为检测装置， 其特 征在于， 还 包括： 第二获得模块， 用于获得正常流 量报文； 解析模块， 用于解析 所述正常流量报文， 确定所述整成流 量报文的源IP、 目的IP； 建立模块， 用于根据所述 正常流量报文的源IP、 目的IP建立所述主机访问表； 第一记录模块， 用于记录对应所述正常流量报文的源IP、 目的IP的访问次数， 并将所述 访问次数写入所述主机访问表中。 10.根据权利要求1所述的地址扫描行为检测装置， 其特 征在于， 还 包括： 第二记录模块， 用于在确定所述待测流量报文为正常流量报文， 且所述待测流量报文 未记录在所述主机访问表中时， 至少记录所述待测流量报文的源IP、 目的IP至所述主机访 问表中。权　利　要　求　书 2/2 页 3 CN 114070633 A 3