(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111347454.2 (22)申请日 2021.11.15 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 周强　范鸿雷　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种识别漏洞扫描的方法、 装置、 设备及存 储介质 (57)摘要 本申请实施例提供一种识别漏洞扫描的方 法、 装置、 设备及存储介质， 该方法包括： 若确认 探测源存在对多个连续网络参数值的探测行为 时， 则确认所述探测源为漏洞扫描源， 其中， 所述 网络参数值是与被探测内网对象相关的值； 阻断 所述探测源对 所述被探测内网对象的访问操作。 通过本申请的一些实施例能够实现通过判断同 一探测源对 连续多个网络参数的访问， 确认该探 测源属于风险源并进行阻断， 从而能够快速准确 的识别探测源的漏洞扫描行为， 降低被探测内网 对象的风险， 并且提高运维效率。 权利要求书2页 说明书13页 附图4页 CN 114070613 A 2022.02.18 CN 114070613 A 1.一种识别漏洞 扫描的方法， 其特 征在于， 所述方法包括： 若确认探测源存在对多个连续网络参数值的探测行为 时， 则确认所述探测源为漏洞扫 描源， 其中， 所述网络参数值是与被探测内网对象相关的值； 阻断所述探测源 对所述被探测内网对象的访问操作。 2.根据权利要求1所述的方法， 其特征在于， 所述探测行为是通过遍历针对所述探测源 建立的探测信息表确认的。 3.根据权利要求1所述的方法， 其特征在于， 所述确认探测源存在对多个连续网络参数 值的探测行为， 包括： 获取所述探测源发送的探测请求信息， 其中， 所述探测请求信息包括所述网络参数值 和所述探测源的IP地址； 根据所述探测请求信息生成探测信息表， 其中， 所述探测信息表用于记录被所述探测 源探测的所述网络参数值； 确认所述探测信息表中的多个网络参数值是 连续的。 4.根据权利要求3所述的方法， 其特 征在于， 所述获取 所述探测源发送的探测请求信息， 包括： 获取所述探测请求信息包括的被探测内网主机的IP地址和所述探测源的IP地址； 所述根据所述探测请求信息生成探测信息表， 包括： 根据所述被探测内网主机的IP地址和所述探测源的IP地址， 生成IP探测信息表， 其中， 所述IP探测信息表用于记录所述被探测内网主机的IP地址； 所述确认所述探测信息表中的多个网络参数值是 连续的， 包括： 确认所述 IP探测信息表中的多个 被探测内网主机的IP地址是 连续的。 5.根据权利要求4所述的方法， 其特征在于， 所述根据所述被探测内网主机的IP地址和 所述探测源的IP地址， 生成IP探测信息表， 包括： 读取初始IP探测信息表； 确认所述初始IP探测信息表的表项中存在所述被探测内网主机的IP地址， 则将所述被 探测内网主机的IP地址 保存在所述表项中， 获得所述IP探测信息表， 其中， 所述表项与所述 被探测内网主机的IP地址相 对应； 或者， 确认所述初始IP探测信息表的表项中不存在所述 被探测内网主机的IP地址， 则创建新表项； 将所述被探测内网主机的IP地址保存在所述新 表项中， 获得 所述IP探测信息表。 6.根据权利要求3所述的方法， 其特 征在于， 所述获取 所述探测源发送的探测请求信息， 包括： 获取所述探测 请求信息包括的所述探测源的IP地址、 被探测内网主机的IP地址和端口 号； 所述根据所述探测请求信息生成探测信息表， 包括： 根据所述被探测内网主机的IP地址、 所述探测源的IP地址和所述被探测内网主机的端 口号， 生成端口探测信息表， 其中， 所述端口探测信息表用于记录被所述探测源探测的所述 被探测内网主机的IP地址和端口号； 所述确认所述探测信息表中的多个网络参数值是 连续的， 包括： 确认所述端口探测信息表中针对同一被探测内网主机的多个端口号是 连续的。权　利　要　求　书 1/2 页 2 CN 114070613 A 27.根据权利要求6所述的方法， 其特征在于， 根据所述被探测内网主机的IP地址、 所述 探测源的IP地址和所述被探测内网主机的端口号， 生成端口探测信息表， 包括： 读取初始端口探测信息表； 确认所述初始端口探测信息表的表项中存在所述被探测内网主机的IP地址和所述探 测源的IP地址， 则将所述端口号保存在所述表项中， 获得所述端口探测信息表， 其中， 所述 表项与所述端口号相对应； 或者， 确认所述初始端口探测信息表的表项中不存在所述被探 测内网主机的IP地址和所述探测源的IP地址， 则创建新表项； 将所述端口号和所述被探测 内网主机的IP地址保存在所述 新表项中， 获得 所述端口探测信息表。 8.根据权利要求3所述的方法， 其特征在于， 在所述根据 所述探测请求信 息生成探测信 息表之前， 所述方法还 包括： 获取防护IP集 合， 其中， 所述防护IP集 合为需要防护的IP地址集 合； 确认所述防护IP集 合中包括被探测内网主机的IP地址 。 9.根据权利要求1 ‑8任一项所述的方法， 其特征在于， 被探测内网主机的IP地址是由所 述探测源通过网络控制报文协议 ICMP发送的。 10.根据权利要求1 ‑8任一项所述的方法， 其特征在于， 端口号是由所述探测源通过传 输控制协议TCP的同步序列SYN数据包发送的。 11.一种网关设备， 其特征在于， 所述网关设备用于实现如权利要求1 ‑10任一项所述的 识别漏洞 扫描的方法。 12.一种识别漏洞 扫描的装置， 其特 征在于， 所述装置包括： 探测行为确认模块， 被配置为若确认探测源存在对多个连续网络参数值的探测行为 时， 则确认所述探测源为漏洞扫描源， 其中， 所述网络参数值是与被探测内网对象相关的 值； 扫描阻断模块， 被 配置为阻断所述探测源 对所述被探测内网对象的访问操作。 13.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器通过所述总线与所述存储器相连， 所述存储器存储有计算机可读取指令， 当所述计算机可读取指令由所述处理器执行时， 用于实现如权利要求1 ‑10任一项所述方 法。 14.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被执 行时实现如权利要求1 ‑10任一项所述方法。权　利　要　求　书 2/2 页 3 CN 114070613 A 3