(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111622578.7 (22)申请日 2021.12.28 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区闵庄路3号清华 科技园玉泉慧谷一期1号楼 (72)发明人 倪浩天　于泽研　 (74)专利代理 机构 北京锺维联合知识产权代理 有限公司 1 1579 代理人 王越 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 流量检测方法及 装置、 电子设备和计算机可 读存储介质 (57)摘要 本发明提出了一种流量检测方法及装置、 电 子设备和计算机可读存储介质， 应用于网络安全 技术领域， 该方法包括： 获取目标流量的第一维 度信息、 第二维度信息和第三维度信息； 确定所 述目标流量中具有相同所述第一维度信息的数 据包数量； 基于所述数据包数量、 所述第二维度 信息和所述第三维度信息， 确定所述目标流量为 端口扫描攻击流量的置信度； 在所述置信度大于 或等于预定阈值时， 确定所述目标流量为端口扫 描攻击流量。 通过本发明的技术方案， 可及时有 效地识别目标流量是否为端口扫描攻击流量， 便 于在识别出端口扫描攻击流量时及时应对， 提升 网络安全。 权利要求书2页 说明书9页 附图1页 CN 114301668 A 2022.04.08 CN 114301668 A 1.一种流 量检测方法， 其特 征在于， 包括： 获取目标流 量的第一维度信息、 第二维度信息和第三维度信息， 其中， 所述第一维度信息包括所述目标流量的五元组， 所述第二维度信息包括所述目 标流量的发包开始时间和发包结束时间， 所述第三维度信息包括所述目标流量的固定 关键 字、 浮动关键 字、 关键荷载信息、 用户ID和AP P ID； 确定所述目标流 量中具有相同所述第一维度信息的数据包数量； 基于所述数据包数量、 所述第二维度信息和所述第三维度信息， 确定所述目标流量为 端口扫描攻击流 量的置信度； 在所述置信度大于或等于预定阈值时， 确定所述目标流 量为端口扫描攻击流 量。 2.根据权利要求1所述的流 量检测方法， 其特 征在于， 还 包括： 获取所述目标流量的第四维度信 息， 所述第四维度信 息包括所述目标流量在物理空间 中的源地址信息和目的地址信息； 则在确定所述目标流 量为端口扫描攻击流 量的步骤之后， 还 包括： 基于所述第四维度信息， 确定生成所述目标流 量的攻击源的物理地址 。 3.根据权利要求1所述的流量检测方法， 其特征在于， 所述获取目标流量的第 一维度信 息、 第二维度信息和第三维度信息的步骤， 包括： 从传输所述目标流 量的网络层获取 所述第一维度信息； 以及 将所述目标流量中第一个数据包的发送时间设置为所述第二维度信息中的发包开始 时间， 将所述目标流量中最后一个数据包的发送时间设置为所述第二维度信息中的发包结 束时间； 以及 从传输所述目标流 量的传输层和应用层获取 所述第三维度信息 。 4.根据权利要求1至3中任一项所述的流量检测方法， 其特征在于， 所述基于所述数据 包数量、 所述第二维度信息和所述第三维度信息， 确定所述 目标流量为端口扫描攻击流量 的置信度的步骤， 包括： 对于所述目标流量中具有相同所述第 一维度信 息的数据包数量， 将所述数据包数量所 属的数量区间所对应的预设权 重设置为第一权 重； 在所述目标流量的所述第 一权重大于或等于预定权重时， 确定所述目标流量中目的IP 对应的目的端口分布范围； 基于所述目标流量中所述目的IP对应的目的端口分布范围， 为所述目标流量设置第二 权重； 基于所述第一权重和所述第二权重， 确定所述目标流量为端口扫描攻击流量的置信 度。 5.根据权利要求4所述的流量检测方法， 其特征在于， 所述确定所述目标流量中目的IP 对应的目的端口分布范围的步骤， 包括： 确定所述目标流 量中任一所述目的IP对应的目的端口分布范围； 所述基于所述目标流量中所述目的IP对应的目的端口分布范围， 为所述目标流量设置 第二权重的步骤， 包括： 将所述目的端口分布范围所属的分布范围区间所对应的预设权重设置为所述第二权 重。权　利　要　求　书 1/2 页 2 CN 114301668 A 26.根据权利要求4所述的流量检测方法， 其特征在于， 所述确定所述目标流量中目的IP 对应的目的端口分布范围的步骤， 包括： 确定所述目标流 量中每个所述目的IP对应的目的端口分布范围； 所述基于所述目标流量中所述目的IP对应的目的端口分布范围， 为所述目标流量设置 第二权重的步骤， 包括： 若所述目的端口分布范围属于目标分布范围的所述目的IP的数量达到目标数量， 将所 述目标分布范围所对应的预设权 重设置为所述第二权 重。 7.根据权利要求4所述的流量检测方法， 其特征在于， 所述基于所述第 一权重和所述第 二权重， 确定所述目标流 量为端口扫描攻击流 量的置信度的步骤， 包括： 以所述第一权重和所述第二权重的和作为所述目标流量为端口扫描攻击流量的置信 度； 或者 基于所述目标流量的第一维度信息、 第二维度信息和第三维度信息各自对应的权重， 计算所述目标流 量的第一维度信息、 第二维度信息和第三维度信息各自对应的子 置信度； 以所述第一维度信 息的子置信度作为所述第 一权重的加权系数， 以所述第 二维度信 息 的子置信度和所述第三维度信息的子置信度的均值作为所述第二权重的加权系数， 对所述 第一权重和所述第二权 重加权求和， 得到所述目标流 量为端口扫描攻击流 量的置信度。 8.一种流 量检测装置， 其特 征在于， 包括： 维度信息获取单元， 用于获取目标流量的第一维度信息、 第二维度信息和第三维度信 息， 其中， 所述第一维度信息包括所述目标流量的五元组， 所述第二维度信息包括所述目标 流量的发包开始时间和发包结束时间， 所述第三维度信息包括所述目标流量的固定关键 字、 浮动关键 字、 关键荷载信息、 用户ID和AP PID； 数据包数量确定单元， 用于确定所述目标流量中具有相同所述第 一维度信 息的数据包 数量； 置信度确定单元， 用于基于所述数据包数量、 所述第 二维度信 息和所述第 三维度信 息， 确定所述目标流 量为端口扫描攻击流 量的置信度； 端口扫描判定单元， 用于在所述置信度大于或等于预定阈值时， 确定所述目标流量为 端口扫描攻击流 量。 9.一种电子设备， 其特征在于， 包括： 至少一个处理器； 以及， 与所述至少一个处理器通 信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被设置为用 于执行上述权利要求1至7中任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 存储有计算机可执行指令， 所述计算机可 执行指令用于执 行如权利要求1至7中任一项所述的方法流 程。权　利　要　求　书 2/2 页 3 CN 114301668 A 3