1.一种端口扫描检测方法,其特征在于,所述方法包括:
A、统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量;
B、根据确定的特征向量,确定聚类后的类别数量;
C:根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件;如果否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,进行B;
D:如果是,将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
2.如权利要求1所述的方法,其特征在于,所述确定每个连接发起者与连接响应者之间的特征向量包括:
针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
3.如权利要求1所述的方法,其特征在于,所述统计设定时间长度内每个连接发起者向连接响应者发起数据传输的次数之前,所述方法还包括:
针对获取的每个单向网络流程序netflow,从中选取满足传输控制协议TCP的netflow;
将选取的netflow拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
4.如权利要求1所述的方法,其特征在于,所述根据确定的特征向量,确定聚类后的类别数量包括:
针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
5.如权利要求1所述的方法,其特征在于,所述根据确定的特征向量,确定聚类后的类别数量包括:
根据确定的特征向量采用手肘法,确定聚类后的类别数量。
6.如权利要求1所述的方法,其特征在于,当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件包括:
当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量。
7.一种端口扫描检测装置,其特征在于,所述装置包括:
第一确定模块,用于统计设定时间长度内每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定每个连接发起者与连接响应者之间的特征向量;
第二确定模块,用于根据确定的特征向量,确定聚类后的类别数量;
判断模块,用于根据确定的类别数量,及每个特征向量对应的特征点之间的距离,对每个特征向量进行聚类;判断当前聚类的中心点与预先设定的标准点的最小距离对应的聚类是否满足终止条件,如果判断结果为否,将所述当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包含的特征向量作为输入特征向量,触发第二确定模块,如果判断结果为是,触发第三确定模块;
第三确定模块,用于将当前聚类的中心点与预先设定的标准点的最小距离对应的聚类作为目标聚类;确定目标聚类中的每个特征向量对应的连接发起者对连接响应者进行端口扫描。
8.如权利要求7所述的装置,其特征在于,所述第一确定模块,具体用于针对每个连接发起者与连接响应者进行数据包传输的次数、连接响应者接收数据包的每个接收端口、连接发起者向连接响应者进行每次数据发送的时长,连接发起者与连接响应者之间每次进行数据包传输的数据包的数量以及数据包的大小,确定该连接发起者与连接响应者之间的特征向量中的每个参数,其中第一参数为所述连接响应者向所述连接发起者传输数据的第二次数与该连接发起者向该连接响应者传输数据的第一次数的比值;第二参数为所述连接响应者接收端口的数量;第三参数为所述连接响应者接收端口的数量与所述第一次数的比值;确定最长时长与最短时长的差值,第四参数为所述第一次数与所述差值的比值;第五参数为连接发起者与连接响应者之间传输的数据包的总数量与所述第一次数的比值;第六参数为连接发起者与连接响应者之间传输的数据包的平均大小;第七参数为所述第一次数。
9.如权利要求7所述装置,其特征在于,所述装置还包括:
选取确定模块,用于针对获取的每个单向网络流程序netflow,从中选取满足传输控制协议TCP的netflow;将选取的netflow拼接为双向流,根据所述双向流确定每个连接发起者和连接响应者。
10.如权利要求7所述装置,其特征在于,所述第二确定模块,具体用于针对每个特征向量采用组间平方和与总平和的比例法,确定聚类后的类别数量。
11.如权利要求7所述装置,其特征在于,所述第二确定模块,具体用于根据确定的特征向量采用手肘法,确定聚类后的类别数量。
12.如权利要求7所述装置,其特征在于,所述判断模块,具体用于当前聚类的中心点与预先设定的标准点的最小距离对应的聚类的中心点与预先设定的标准点的距离小于预先设定的距离阈值、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类经过的聚类的次数不小于预先设定的聚类次数、或当前聚类的中心点与预先设定的标准点的最小距离对应的聚类包括的特征数量小于预先设定的特征数量,确定当前聚类的中心点与预先设定的标准点的最小距离对应的聚类满足终止条件。