(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113904853A(43)申请公布日2022.01.07(21)申请号202111192319.5(22)申请日2021.10.13(71)申请人百度在线网络技术（北京）有限公司地址100085北京市海淀区上地十街10号百度大厦三层(72)发明人杜悦艺王忠鹏左振领(74)专利代理机构北京市汉坤律师事务所11602代理人姜浩然吴丽丽(51)Int.Cl.H04L9/40(2022.01)H04L61/5007(2022.01)权利要求书3页说明书11页附图5页(54)发明名称网络系统的入侵检测方法、装置、电子设备和介质(57)摘要本公开提供网络系统的入侵检测方法、装置、电子设备、介质和计算机程序产品，涉及互联网技术领域，尤其涉及网络安全技术领域。实现方案为：响应于检测到多个计算机中的至少一个计算机发出或接收到的报文中包括第一应答信息，获取被执行端口探测的计算机的目的网络配置信息和发起该端口探测的计算机的源IP地址，第一应答信息指示被执行端口探测的计算机的端口不可用；针对每个目的网络配置信息，统计在预设时间长度内获取到的每个源IP地址的获取次数；基于获取次数与预设阈值的比较结果，确定发起端口探测的计算机是否发起了网络入侵。CN113904853ACN113904853A权利要求书1/3页1.一种网络系统的入侵检测方法，所述网络系统包括使用报文彼此通信的多个计算机，所述方法包括：响应于检测到所述多个计算机中的至少一个计算机发出或接收到的报文中包括第一应答信息，获取被执行端口探测的计算机的目的网络配置信息以及发起该端口探测的计算机的源IP地址，其中，所述第一应答信息指示被执行端口探测的计算机的端口不可用；针对每个所述目的网络配置信息，统计在预设时间长度内获取到的每个源IP地址的获取次数；以及基于所述获取次数与预设阈值的比较结果，确定发起该端口探测的计算机是否发起了网络入侵。2.根据权利要求1所述的方法，其中，确定发起该端口探测的计算机是否发起了网络入侵包括：响应于确定所述获取次数与加权系数相乘得到的值大于所述预设阈值，确定发起该端口探测的计算机发起了网络入侵，其中，所述加权系数与被执行端口探测的所述计算机的业务性质相关。3.根据权利要求2所述的方法，其中，所述多个计算机包括蜜罐计算机，所述目的网络配置信息包括目的IP地址，并且所述加权系数的值大于1，并且其中，确定发起该端口探测的计算机发起了网络入侵包括：针对所述蜜罐计算机所对应的目的IP地址，响应于确定所述获取次数与加权系数相乘得到的值大于所述预设阈值，确定发起该端口探测的计算机发起了网络入侵。4.根据权利要求1至3中任一项所述的方法，还包括：获取从所述至少一个计算机发出或接收到的报文中解析出的时间戳信息，所述时间戳信息与所述源IP地址相关联并且指示所述第一应答信息的发出时间，其中，统计在预设时间长度内获取到的每个源IP地址的获取次数包括：对关联了相同时间戳的源IP地址的获取次数进行去重，以得到去重后的获取次数作为每个源IP地址的获取次数。5.根据权利要求1至3中任一项所述的方法，其中，所述多个计算机中的每个计算机处均设置有网络代理，并且其中，获取被执行端口探测的计算机的目的网络配置信息以及发起该端口探测的计算机的源IP地址包括：从所述网络代理处获取被执行端口探测的计算机的目的网络配置信息以及发起该端口探测的计算机的源IP地址。6.根据权利要求1至3中任一项所述的方法，其中，所述多个计算机通过交换机彼此通信连接，并且其中，获取被执行端口探测的计算机的目的网络配置信息以及发起该端口探测的计算机的源IP地址包括：接收所述交换机发送的报文；以及从所述交换机发送的所述报文中解析所述被执行端口探测的计算机的目的网络配置信息以及发起该端口探测的计算机的源IP地址。7.根据权利要求1至3中任一项所述的方法，还包括：响应于确定发起该端口探测的计算机发起了网络入侵，发出警告信号。8.根据权利要求1或2所述的方法，其中，所述目的网络配置信息包括目的IP地址或目2CN113904853A权利要求书2/3页的端口。9.一种网络系统的入侵检测装置，所述网络系统包括使用报文彼此通信的多个计算机，所述装置包括：获取单元，所述获取单元被配置为响应于检测到所述多个计算机中的至少一个计算机发出或接收到的报文中包括第一应答信息，获取被执行端口探测的计算机的目的网络配置信息以及发起该端口探测的计算机的源IP地址，其中，所述第一应答信息指示被执行端口探测的计算机的端口不可用；统计单元，所述统计单元被配置为针对每个所述目的网络配置信息，统计在预设时间长度内获取到的每个源IP地址的获取次数；以及确定单元，所述确定单元被配置为基于所述获取次数与预设阈值