(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111594056.0 (22)申请日 2021.12.23 (71)申请人 上海观安信息技 术股份有限公司 地址 200000 上海市浦东 新区泥城镇云端 路1412弄 15号二层1室 (72)发明人 徐明　辜乘风　魏国富　夏玉明　 殷钱安　周晓勇　陶景龙　余贤喆　 梁淑云　刘胜　王启凡　马影　 (74)专利代理 机构 北京中强智尚知识产权代理 有限公司 1 1448 代理人 刘敏 (51)Int.Cl. H04L 61/103(2022.01) H04L 9/40(2022.01) (54)发明名称 利用地址解析协议进行网络扫描的行为检 测方法及装置 (57)摘要 本申请公开了一种利用地址解析协议进行 网络扫描的行为检测方法及装置、 存储介质和计 算机设备。 方法包括： 获取通信信息， 其中， 通信 信息包括源地址、 目的地址、 请求时间以及请求 结果； 根据目的地址以及请求时间， 确定源地址 对应的请求规律； 根据请求规律确定请求规律得 分， 根据源地址对应的请求结果确定请求结果得 分， 根据源地址对应的目的地址确定请求广度得 分； 根据请求规律得分、 请求结果得分以及请求 广度得分， 在多个通信信息对应的源地址中， 确 定与网络扫描对应的目标源地址， 并确定目标源 地址对应的目标请求为网络扫描行为。 本申请的 方法， 提高了ARP网络扫描行为检测的准确率。 权利要求书3页 说明书13页 附图6页 CN 114338593 A 2022.04.12 CN 114338593 A 1.一种利用地址解析协议进行网络扫描的行为检测方法， 其特 征在于， 所述方法包括： 获取通信 信息， 其中， 所述 通信信息包括源地址、 目的地址、 请求时间以及请求结果； 根据所述源地址对应的目的地址以及所述源地址对应的请求 时间， 确定所述源地址对 应的请求 规律； 根据所述请求规律确定请求规律得分， 根据 所述源地址对应的请求结果确定请求结果 得分， 根据所述源地址对应的目的地址确定请求广 度得分； 根据所述请求规律得分、 所述请求结果得分 以及所述请求广度得分， 在多个所述通信 信息对应的源地址中， 确定与网络扫描对应的目标源地址， 并确定所述 目标源地址对应的 目标请求 为网络扫描行为。 2.根据权利要求1所述的检测方法， 其特 征在于， 所述请求 规律包括字符规 律； 所述根据 所述源地址对应的目的地址以及所述源地址对应的请求 时间， 确定所述源地 址对应的请求 规律， 具体包括： 根据所述 通信信息， 确定与所述源地址对应的至少一个第一目的地址； 将每个所述第 一目的地址切分成为多个地址段， 确定每个所述地址段在所述第 一目的 地址中的位置， 并将所述 位置相同的地址段作为 一个地址段集 合； 在每个所述地址段集合中， 按照所述地址段对应的第一目的地址由小至大的顺序， 为 多个所述地址段排序， 将每个所述地址段作为第一层地址段序列中的元素， 得到与所述地 址段集合对应的所述第一层地址段序列； 在第i层地址段序列中， 将相邻两个所述元素相减， 得到第i+1层地址段序列， 其 中， i＝ 1或i＝2； 根据第三层地址段序列中的元 素确定所述字符规 律。 3.根据权利要求1所述的检测方法， 其特 征在于， 所述请求 规律包括访问规 律； 所述根据 所述源地址对应的目的地址以及所述源地址对应的请求 时间， 确定所述源地 址对应的请求 规律， 具体包括： 在所述通信信 息中， 分别确定所述源地址在每个预设时间窗内的目标请求 时间以及所 述目标请求时间对应的第二目的地址； 对多个所述第二目的地址去重， 得到第二目的地址的地址数量； 按照所述时间窗由先至后的顺序， 为多个所述时间窗对应的地址数量排序， 并将每个 所述地址数量作为第一层地址数量序列中的元 素， 得到所述第一层地址数量序列； 对第j层地址数量序列中的元素， 采用相邻两个元素相减做差的方式， 得到第j+1层地 址数量序列， 其中， j＝1或j＝2； 根据第三层地址数量序列中的元 素确定所述访问规 律。 4.根据权利要求1所述的检测方法， 其特 征在于， 所述请求 规律包括波动规 律， 所述根据 所述源地址对应的目的地址以及所述源地址对应的请求 时间， 确定所述源地 址对应的请求 规律， 具体包括： 在所述通信信 息中， 分别确定所述源地址对应的第 三目的地址以及每个所述第 三目的 地址的访问次数； 按照所述第 三目的地址由小至大的顺序， 为多个所述第 三目的地址对应的访问次数排 序， 并将每个所述访问次数作为第一层访问次数序列中的元素， 得到所述第一层访问次数权　利　要　求　书 1/3 页 2 CN 114338593 A 2序列； 对第k层访问次数序列中的元素， 采用相邻两个元素相减做差的方式， 得到第k+1层访 问次数序列， 其中， k ＝1或k＝2； 根据第三层 访问次数序列中的元 素确定所述波动规 律。 5.根据权利要求1所述的检测方法， 其特征在于， 所述根据 所述源地址对应的请求结果 确定请求结果得分， 具体包括： 根据所述源地址对应的至少一个请求结果， 在所述源地址对应的通信信息中， 确定所 述请求结果为访问失败的失败通信信息， 并确定所述失败通信信息数量， 以及所述失败通 信信息在所述 通信信息中的比例； 利用孤独森林模型， 根据所述失败通信信息数量以及所述比例， 确定所述请求结果得 分。 6.根据权利要求5所述的检测方法， 其特征在于， 所述根据源地址对应的目的地址确定 请求广度得分， 具体包括： 根据多个所述通信信 息， 确定所述源地址对应的通信信 息的数量以及所述源地址对应 的第四目的地址的数量； 利用所述孤独森林模型， 根据 所述源地址对应的通信信 息的数量以及所述第四目的地 址的数量， 确定所述请求广 度得分。 7.根据权利要求1所述的检测方法， 其特征在于， 根据所述请求规律得分、 所述请求结 果得分以及所述请求广度得分， 在多个所述通信信息对应的源地址中， 确定与网络扫描对 应的目标源地址， 具体包括： 将多个所述源地址对应的请求规律得分按照由大至小的顺序排序， 确定排序位置在前 N％的请求规律得分为 目标请求规律得分， 利用所述 目标请求规律得分对应的第一源地址 组成第一源地址集 合， 其中， 0 <N<5； 将多个所述源地址对应的请求结果得分按照由大至小的顺序排序， 确定排序位置在前 N％的请求结果得分为 目标请求结果得分， 利用所述 目标请求结果得分对应的第二源地址 组成第二源地址集 合； 将多个所述源地址对应的请求广度得分按照由大至小的顺序排序， 确定排序位置在前 N％的请求广度得分为 目标请求广度得分， 利用所述 目标请求广度得分对应的第三源地址 组成第三源地址集 合； 若所述第一源地址集合、 所述第 二源地址集合以及所述第 三源地址集合中包含相同的 源地址， 则确定所述相同的源地址为所述目标源地址 。 8.一种利用地址解析协议进行网络扫描的行为检测系统， 其特 征在于， 所述系统包括： 获取模块， 用于获取通信信息， 其中， 所述通信信息包括源地址、 目的地址、 请求时间以 及请求结果； 计算模块， 用于根据所述源地址对应的目的地址以及所述源地址对应的请求时间， 确 定所述源地址对应的请求 规律； 分析模块， 用于根据所述请求规律确定请求规律得分， 根据所述源地址对应的请求结 果确定请求结果得分， 根据所述源地址对应的目的地址确定请求广 度得分； 判断模块， 用于根据 所述请求规律得分、 所述请求结果得分以及所述请求广度 得分， 在权　利　要　求　书 2/3 页 3 CN 114338593 A 3