[发明专利]端口扫描检测

权利要求书

1.一种方法，其包括：

在包括多个预定义时间段的时间跨度期间，在通过网络进行通信的多个节点之间传输的数据业务中识别一组端口扫描，所述端口扫描中的每个端口扫描包括在给定时间段期间由给定源节点在所述数据业务中对给定目的地节点上的多个通信端口的访问；

对于已识别的端口扫描中的每个给定源节点，计算在所述给定源节点的任何给定端口扫描期间由所述给定源节点访问其相应通信端口的目的地节点的平均数量，以及计算所述时间段的比值，在该比值的时间段期间，所述给定源节点在由所述给定源节点执行的端口扫描中的至少一个端口扫描中访问所述目的地节点中的至少一个目的地节点；

聚集以下条件中的一个或更多个条件被发现适用于的所述源节点的白名单：

在所述已识别的端口扫描中访问的目的地节点的平均数量大于第一阈值；以及

所述时间段的所述比值大于第二阈值，在该比值的时间段期间在所述端口扫描中的至少一个端口扫描中访问了所述目的地节点中的至少一个目的地节点；以及

在检测到由不在所述白名单上的节点中的一个节点进行的端口扫描时，启动预防动作。

2.根据权利要求1所述的方法，其中，识别所述端口扫描包括：

在所述数据业务中识别一组所述源节点和所述目的地节点对，每对由给定源节点和给定目的地节点以及在每对中的所述源节点和目的地节点之间的数据业务中被访问的通信端口中的一个或更多个通信端口组成，

对于所述组中的每对，计算相应的基线水平，所述基线水平指示在第一时间段期间除了该对中的所述给定源节点之外的源节点在所述给定目的地节点上访问的通信端口的第一数量，

对于所述组中的每对，计算相应的测试得分，所述测试得分指示在第二时间段期间该对中的所述给定源节点在所述给定目的地节点上访问的通信端口的第二数量与所述基线水平之间的差，以及

将所述对中的所述测试得分大于指定水平的任意对指定为所述端口扫描。

3.根据权利要求1所述的方法，其中，所述目的地节点的所述平均数量包括在所述给定源节点访问所述通信端口中的至少一个通信端口的所述时间段中的每个时间段期间由所述给定源节点访问的所述目的地节点的平均数量。

4.根据权利要求1所述的方法，其中，所述多个时间段包括一组第一时间段和在所述第一时间段之后的第二时间段，其中，计算所述平均值和函数以及聚集所述白名单的步骤在所述第一时间段中识别的所述端口扫描上执行，并且其中，检测由不在所述白名单上的节点中的一个节点进行的端口扫描在所述第二时间段中执行。

5.根据权利要求1所述的方法，其中，所述预定义时间段中的每个预定义时间段具有基本上相同的持续时间。

6.根据权利要求1至5中任一项所述的方法，其中，启动所述预防动作包括针对检测到的端口扫描中的所述给定源节点生成警报。

7.根据权利要求1至5中任一项所述的方法，其中，启动所述预防动作包括限制检测到的端口扫描中的所述给定源节点对所述网络的访问。