1.一种恶意系统漏洞扫描器的识别方法,其特征在于,所述方法包括:
在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;
统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;
当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在达到预设的统计周期时,如果所述数量小于等于所述阈值,则将所述数量清零,并重新开始统计。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述访问请求的发送方为恶意系统漏洞扫描器后,针对所述恶意系统漏洞扫描器进行告警,或者在预设的阻断周期内丢弃来自所述恶意系统漏洞扫描器的访问请求。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在针对所述恶意系统漏洞扫描器进行告警或丢弃来自所述恶意系统漏洞扫描器的访问请求后,将所述数量清零,并重新开始统计。
5.根据权利要求1所述的方法,其特征在于,所述统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量,包括:
针对所有检测端口,统计来自所述可疑IP地址的访问请求的总数量。
6.一种恶意系统漏洞扫描器的识别装置,其特征在于,所述装置包括:
记录单元,用于在接收到面向预设检测端口的访问请求时,将所述访问请求的源IP地址作为可疑IP地址进行记录,所述检测端口为非业务端口;
统计单元,用于统计来自所述可疑IP地址,且面向所述检测端口的访问请求的数量;
确定单元,当所述数量大于预设的阈值时,确定所述访问请求的发送方为恶意系统漏洞扫描器。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一清零单元,用于在达到预设的统计周期时,如果所述数量小于等于所述阈值,则将所述数量清零,并重新开始统计。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
处理单元,用于在确定所述访问请求的发送方为恶意系统漏洞扫描器后,针对所述恶意系统漏洞扫描器进行告警,或者在预设的阻断周期内丢弃来自所述恶意系统漏洞扫描器的访问请求。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二清零单元,用于在针对所述恶意系统漏洞扫描器进行告警或丢弃来自所述恶意系统漏洞扫描器的访问请求后,将所述数量清零,并重新开始统计。
10.根据权利要求6所述的装置,其特征在于,所述统计单元包括:
统计子单元,用于针对所有检测端口,统计来自所述可疑IP地址的访问请求的总数量。