(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211237228.3 (22)申请日 2022.10.11 (71)申请人 科来网络技 术股份有限公司 地址 610041 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区天府大道北 段966号4栋1单元12楼、 13楼、 14楼 (72)发明人 何龙　伍宏宁　 (74)专利代理 机构 四川力久律师事务所 512 21 专利代理师 任晓扬 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/163(2022.01) (54)发明名称 基于TCP通信的访问关系分析方法、 系统、 设 备和介质 (57)摘要 本发明涉及网络安全分析技术领域， 特别是 涉及基于TCP通信的访问关系分析方法、 系统、 设 备和介质， 方法包括以下步骤： S1， 提取客户端访 问TCP服务的指标， 所述指标以IP:PORT 为统计单 位； S2， 对所述指标进行聚类分析， 获取异常访问 客户端。 本发 明的方法无须提前准备白名单和黑 名单， 无需构建异常访问的基准， 直接在TCP通信 模式下基于IP： PORT的指标数据进行统计和聚类 分析， 获取异常访问端， 与直接基于IP地址统计 分析的结果相比， 粒度更精细， 能更准确的获取 异常访问端。 权利要求书2页 说明书5页 附图2页 CN 115314325 A 2022.11.08 CN 115314325 A 1.基于TCP通信的访问关系分析 方法， 其特 征在于， 包括以下步骤： S1， 提取客户端访问TCP服 务的指标， 所述指标以IP :PORT为统计单位； S2， 对所述指标进行聚类分析， 获取异常访问客户端。 2.如权利要求1所述的基于TCP通信的访问关系分析方法， 其特征在于， 步骤S1具体包 括以下步骤： S110， 获取网络流 量中的TCP会话； S120， 根据TCP通信模式， 确定会话中的服 务端与客户端； S130， 在服务端以IP :PORT为统计单位对TCP服 务的指标进行汇总。 3.如权利要求2所述的基于TCP通信的访问关系分析方法， 其特征在于， 步骤S110具体 包括： 从网络流量中提取TCP  会话信息， 从所述TCP  会话信息中提取出体现会话方向的字 段。 4.如权利 要求3所述的基于TCP通信的访问关系分析方法， 其特征在于， 步骤S120中， 所 述确定会话中的服务端与客户端 具体是指： 同一个TCP会话中， 率先发起SYN的IP为客户端， 率先发起SYN的IP的客户端会话 通信的另一端为 服务端。 5.如权利 要求4所述的基于TCP通信的访问关系分析方法， 其特征在于， 步骤S120中， 以 IP:PORT代表TCP服务端的TCP服 务， 以IP代 表客户端。 6.如权利要求2所述的基于TCP通信的访问关系分析方法， 其特征在于， 步骤S130具体 包括： 以预设的时间周期汇聚多个会话， 形成客户端访问TCP服务的指标， 所述指标以IP: PORT为单位依次汇聚得到汇总后的指标。 7.如权利 要求6所述的基于TCP通信的访问关系分析方法， 其特征在于， 所述指标以IP: PORT为单位依次汇聚得到汇总后的指标至少包括以下 方法： S210， 将会话数据包中客户端IP、 客户端PORT、 服 务端IP、 服 务端PORT构成四元组数据； S220， 隐去所述四元组数据中的客户端PORT， 形成客户端IP、 服务端IP和服务端PORT构 成的三元组数据， 用所述 三元组数据描述 客户端访问服 务端的情况； S230， 隐去所述三元组数据 中的客户端IP， 形成服务端IP和服务端PORT构成的二元组 数据， 用所述 二元组数据描述 服务端的情况； S240， 隐去所述二元组数据中的服务端IP， 保留服务端PORT， 用保留下的服务端PORT描 述主机的服 务情况。 8.如权利要求1 ‑7任一所述的基于TCP通信的访问关系分析方法， 其特征在于， 步骤S2 具体包括： 对所述指标进行聚类分析， 将离群度高的客户端作为异常访问客户端。 9.如权利要求8所述的基于TCP通信的访问关系分析方法， 其特征在于， 所述聚类分析 包括均值聚类分析和密度聚类分析。 10.基于TCP通信的访问关系分析系统， 其特 征在于， 包括： 第一处理模块， 用于提取客户端访问TCP服 务的指标； 第二处理模块， 用于对所述指标进行聚类分析， 获取异常访问客户端。 11.基于TCP通信的访问关系分析设备， 其特征在于， 包括至少一个处理器， 以及与至少 一个处理器通信连接的存储器； 存储器存储有可被至少一个处理器执行 的指令， 所述指令 被至少一个处理器执行， 以使至少一个处理器能够执行权利要求 1‑9任一项所述的基于TCP 通信的访问关系分析 方法。权　利　要　求　书 1/2 页 2 CN 115314325 A 212.计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程序被处理 器执行时实现如权利要求1至9任一项所述基于TCP通信的访问关系分析 方法。权　利　要　求　书 2/2 页 3 CN 115314325 A 3