(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111501051.9 (22)申请日 2021.12.09 (71)申请人 中科计算 技术西部研究院 地址 401120 重庆市渝北区黄山大道中段 53号 (72)发明人 段勃　杨东鑫　谢奉良　陈文锋　 张亮　 (74)专利代理 机构 重庆强大凯创专利代理事务 所(普通合伙) 50217 代理人 刘嘉 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 67/568(2022.01) (54)发明名称 基于流量和活跃度分析的网络异常扫描方 法、 系统及存 储介质 (57)摘要 本发明属于网络异常扫描领域， 尤其涉及基 于流量和活跃度分析的网络异常扫描方法、 系统 及存储介质， 方法为， 将采集的计算机网络线路 中的IP的数据交互信息存储至redis缓存库中， 并对其进行异常扫描， 将异常IP地址找出， 同时 通过异常过滤步骤根据用户实际的需求确定异 常的阈值， 将未达到设定的异常阈值的异常IP地 址排除掉， 进而有针对性地满足用户地需求， 在 过滤完成后， 在一段时间内实时动态追踪异常IP 地址， 将持续时间长地异常IP地址进行特征化分 析， 分析出异常的特征， 同时， 将未达到异常阈值 的异常IP地址进行汇总并进行低频率的追踪。 因 此， 本发明能够解决现有网络异常扫描技术扫描 效率低和无法扫描出不敏感的异常行为的问题。 权利要求书2页 说明书6页 附图2页 CN 114157506 A 2022.03.08 CN 114157506 A 1.基于流 量和活跃度分析的网络异常扫描方法， 其特 征在于： 包括： 数据采集步骤： 采集计算机网络线路中的IP的数据交互信息， 并将其存储至redis缓存 库中； 异常扫描步骤： 根据redis缓存库中存储的数据交互信息实时动态地扫描计算机网络 线路上的每 个IP的流 量信息和活跃度信息， 找出当前计算机网络线路上的异常IP地址； 异常过滤步骤： 根据用户的需求设定流量异常阈值和 活跃度异常阈值， 从扫描结果中 过滤出达到流量异常阈值和活跃度异常阈值的异常IP地址； 追踪统计步骤： 汇总异常过滤步骤中的过滤后结果， 并对异常过滤后结果中的异常IP 地址根据预设时间进行追踪， 以及统计追踪结果中达 到预设时间仍处在异常的IP地址； 特征分析步骤： 根据统计结果对异常IP地址的信息做特征化分析， 发现异常IP地址的 异常特征； 所述追踪统计步骤中还 包括： 汇总未达到流量异常阈值和 活跃度异常阈值的异常IP地址， 并将其进行低频率追踪， 若出现达 到流量异常阈值和活跃度异常阈值时将其保存至统计结果中。 2.根据权利要求1所述的基于流量和活跃度分析的网络异常扫描方法， 其特征在于： 所 述数据交 互信息包括 IP流量信息、 IP活跃度信息以及IP交 互信息。 3.根据权利要求1所述的基于流量和活跃度分析的网络异常扫描方法， 其特征在于： 所 述追踪统计步骤中还 包括： 危害程度分析步骤： 根据追踪结果分析异常IP对计算机网络线路的危害程度。 4.根据权利要求3所述的基于流量和活跃度分析的网络异常扫描方法， 其特征在于： 还 包括： 数据存储步骤： 接收经特征化处理的结果， 并将经特征化处理的结果按照重要程度分 级存储在数据库； 显示步骤： 将数据库中的存 储结果显示在WEB界面； 报警步骤： 通过报警器或者邮件或者钉 钉消息进行异常报警。 5.基于流 量和活跃度分析的网络异常扫描系统， 其特 征在于： 包括： 数据采集模块： 用于采集计算机 网络线路中的IP的数据交互信息， 并将其存储至redis 缓存库中； 异常扫描模块： 用于根据redis缓存库中存储的数据交互信息实时动态地扫描计算机 网络线路上的每个IP的流量信息和活跃度信息， 找出当前计算机网络线路上的异常IP地 址； 异常过滤模块： 用于根据用户的需求设定流量异常阈值和 活跃度异常阈值， 从扫描结 果中过滤出达到流量异常阈值和活跃度异常阈值的异常IP地址； 追踪统计模块： 用于汇总异常过滤模块中的过滤后结果， 并对异常过滤后结果中的异 常IP地址根据预设时间进行追踪， 以及统计追踪结果中达到预设时间仍处在异常的IP地 址； 特征分析模块： 用于根据统计结果对异常IP地址的信息做特征化分析， 发现异常IP地 址的异常特 征； 所述追踪统计模块中设有低频率追踪统计模块， 所述低频率追踪统计模块用于汇总未权　利　要　求　书 1/2 页 2 CN 114157506 A 2达到流量异常阈值和活跃度异常阈值的异常IP地址， 并将其进行低频率追踪， 若出现达到 流量异常阈值和活跃度异常阈值时将其保存至统计结果中。 6.根据权利要求5所述的基于流量和活跃度分析的网络异常扫描系统， 其特征在于： 所 述数据交 互信息包括 IP流量信息、 IP活跃度信息以及IP交 互信息。 7.根据权利要求5所述的基于流量和活跃度分析的网络异常扫描系统， 其特征在于： 所 述追踪统计模块设有危害程度分析模块， 所述危害程度分析模块用于根据追踪结果分析异 常IP对计算机网络线路的危害程度。 8.根据权利要求7所述的基于流量和活跃度分析的网络异常扫描系统， 其特征在于： 还 包括数据存储模块、 显示模块以及报警模块， 所述数据存储模块用于接 收经特征化处理的 结果， 并将经特征化处理的结果按照重要程度分级存储在数据库； 所述显示模块用于将数 据库中的存储结果显示在网页界面或软件界面； 所述报警模块用于通过报警器或者邮件或 者钉钉消息进行异常报警。 9.基于流量和活跃度分析的网络异常扫描存储介质， 其特征在于： 应用于计算机， 该存 储介质中存储有基于流量和活跃度分析的网络异常扫描程序， 所述基于流量和活跃度分析 的网络异常扫描程序被计算机处理器执行时实现权利要求 1‑4所述的基于流量和活跃度分 析的网络异常扫描方法。权　利　要　求　书 2/2 页 3 CN 114157506 A 3