(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111619231.7 (22)申请日 2021.12.27 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 陈雪可　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种检测攻击的方法和装置 (57)摘要 本申请实施例提供一种检测攻击的方法和 装置， 该方法包括： 获取目标客户端和服务器之 间在预设时间段内通信的报文的镜像报文； 确定 镜像报文中指定端口的目标端口号； 利用预先构 建的目标数组， 记录目标端口号； 在确定目标数 组中被记录的目标端口号的总个数大于等于预 设个数的情况下， 确定存在端口扫描攻击行为。 借助于上述方案， 本申请实施例能够提高检测效 率。 权利要求书2页 说明书9页 附图2页 CN 114285654 A 2022.04.05 CN 114285654 A 1.一种检测攻击的方法， 其特征在于， 所述方法应用于攻击检测系统中的网络安全装 置， 所述攻击检测系统包括目标客户端、 目标服 务器和所述网络安全 装置， 所述方法包括： 获取所述目标客户端和所述 服务器之间在预设时间段内通信的报文的镜像报文； 确定所述镜像报文中指定端口 的目标端口号； 利用预先构建的目标 数组， 记录所述目标端口号； 在确定所述目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下， 确 定存在端口扫描攻击行为。 2.根据权利要求1所述的方法， 其特 征在于， 所述指定端口包括源端口和目的端口； 其中， 所述确定所述镜像报文中指定端口 的目标端口号， 包括： 确定由所述目标客户端向所述目标服务器发送的报文的镜像报文的目的端口的目标 端口号， 或者确定由所述目标服务器向所述目标客户端发送的报文的镜像报文的源端口的 目标端口号。 3.根据权利要求1所述的方法， 其特征在于， 所述目标数组包括m个数组元素， 并且所述 m个数组元素中每个数组元素均包括n个位， 以及所述目标数组中包含的每个位均与一个端 口号对应， 以及所述m和所述 n均为正整数； 其中， 所述利用预 先构建的目标 数组， 记录所述目标端口号， 包括： 计算所述目标端口号和所述n的商值a和余值b； 其中， 所述 a为大于等于0的整数， b为大 于等于0的整数； 从所述m个数组元素中查找第a+1个数组元素， 并从所述第a+1个数组元素中确定第b+1 个位； 利用所述第b+1个位， 记录所述目标端口号。 4.根据权利要求3所述的方法， 其特征在于， 所述利用所述第b+1个位， 记录所述目标端 口号， 包括： 判断所述第b+1个位是否被标记； 若确定所述第b+1个位未被标记， 则对所述第b+1个位进行标记， 以实现对所述目标端 口号的记录 。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 若确定所述第b+1个位被标记， 则不进行记录 。 6.一种检测攻击的装置， 其特征在于， 所述装置应用于攻击检测系统中的网络安全装 置， 所述攻击检测系统包括目标客户端、 目标服 务器和所述网络安全 装置， 所述装置包括： 获取模块， 用于获取所述目标客户端和所述服务器之间在预设时间段内通信的报文的 镜像报文； 第一确定模块， 用于确定所述镜像报文中指定端口 的目标端口号； 记录模块， 用于利用预 先构建的目标 数组， 记录所述目标端口号； 第二确定模块， 用于在确定所述目标数组中被记录的目标端口号的总个数大于等于预 设个数的情况 下， 确定存在端口扫描攻击行为。 7.根据权利要求6所述的装置， 其特 征在于， 所述指定端口包括源端口和目的端口； 其中， 所述第 一确定模块， 具体用于： 确定由所述目标客户端向所述目标服务器发送的 报文的镜像报文的目的端口的目标端口号， 或者确定由所述目标服务器向所述目标客户端权　利　要　求　书 1/2 页 2 CN 114285654 A 2发送的报文的镜像报文的源端口 的目标端口号。 8.根据权利要求6所述的装置， 其特征在于， 所述目标数组包括m个数组元素， 并且所述 m个数组元素中每个数组元素均包括n个位， 以及所述目标数组中包含的每个位均与一个端 口号对应， 以及所述m和所述 n均为正整数； 其中， 所述记录模块， 具体用于： 计算所述目标端 口号和所述n的商值a和余值b； 其中， 所述a为大于等于0的整数， b为大于等于0的整数； 从所述m个数组元素中查找第a+1个数组 元素， 并从所述第a+1个数组元素中确定第b+1个位； 利用所述第b+1个位， 记录所述目标端 口号。 9.根据权利要求8所述的装置， 其特征在于， 所述记录模块， 具体用于： 判断所述第b+1 个位是否被标记； 若确定所述第b+1个位未被标记， 则对 所述第b+1个位进 行标记， 以实现对 所述目标端口号的记录 。 10.根据权利要求9所述的装置， 其特征在于， 所述记录模块， 具体用于： 若确定所述第b +1个位被标记， 则不进行记录 。权　利　要　求　书 2/2 页 3 CN 114285654 A 3