CN105634868B - 一种网络扫描发包速率探测系统及方法 - Google Patents

一种网络扫描发包速率探测系统及方法 Download PDF

Info

Publication number
CN105634868B
CN105634868B CN201610041066.4A CN201610041066A CN105634868B CN 105634868 B CN105634868 B CN 105634868B CN 201610041066 A CN201610041066 A CN 201610041066A CN 105634868 B CN105634868 B CN 105634868B
Authority
CN
China
Prior art keywords
packet sending
sending speed
scanning
open
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610041066.4A
Other languages
English (en)
Other versions
CN105634868A (zh
Inventor
黄伟武
闫兆腾
郑尧文
白稳平
朱红松
孙利民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201610041066.4A priority Critical patent/CN105634868B/zh
Publication of CN105634868A publication Critical patent/CN105634868A/zh
Application granted granted Critical
Publication of CN105634868B publication Critical patent/CN105634868B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种网络扫描发包速率探测系统及方法,用于确定在不同网络环境中进行扫描工作的扫描主机的最佳发包速率。本发明首先从大量实验数据中获取先验知识,确定算法一些重要参数的初始值,然后在实际探测过程中对特定IP段重复扫描行为,根据实时存活主机数更新优化发包速率,并最终得到最佳速率值。本发明的最终目的是在进行网络扫描工作之前,扫描主机通过运行算法能在较短时间内自动探测到所处网络环境中的最佳扫描发包速率,从而在保证扫描效果的同时提高了扫描效率。

Description

一种网络扫描发包速率探测系统及方法
技术领域
本发明属于网络安全、网络扫描技术领域,具体涉及一种网络扫描发包速率探测系统及方法。
背景技术
网络扫描基于网络通信协议,利用各种常用的扫描技术,发送数据包去探测目标主机的端口和服务,收集目标主机的反馈信息,从而发现目标主机是否存活、服务器各TCP/UDP端口的分配、所开放的服务以及存在的可能被利用的安全漏洞。它在安全研究领域应用非常广泛,能帮助研究者探测网络拓扑,发现网络设备的漏洞以便及时修补避免被攻击,同时可以进行一些安全防护策略的应用效果评估等。现有的网络地址数目庞大,全网空间的网络扫描会消耗大量的时间,是网络扫描面临的新挑战,也是近些年研究的热点之一。例如IPv4的地址空间具有43亿IP,快速全网扫描工具Zmap能够在一秒内发送超过140万个探测包,从而可以在45分钟内完成IPv4地址空间的扫描。类似的工具Masscan能够一秒发送超过1000万个探测包,在不到6分钟的时间内扫描全网。
然而,上述的两个工具假设扫描主机拥有足够的上行带宽(指用户电脑向网络发送信息时的数据传输速率),而一般网络环境中进行网络扫描,扫描主机带宽受限,加上其他影响因素,会出现数据包丢失的问题。扫描行为的丢包主要有四个原因:扫描主机上行带宽限制,第一跳路由或交换机的转发速率限制,网络拥塞限制以及目标网络限制。
目前,在端到端的网络环境性能探测方面已有相关成果,但在网络扫描这种一对多的模型之下的网络环境性能探测研究成果甚少,网络扫描基本都假设扫描主机拥有足够的上行带宽,事实上并不如此,从而现有的研究成果不能很好的直接应用于实际扫描。
发明内容
本发明针对现有技术的不足,提供一种网络扫描发包速率探测系统及方法。该方法是探测最佳扫描发包速率的学习算法,既能充分利用快速扫描工具的快速探测功能,又尽可能的消除了数据包丢失的问题。需要注意的是,该方法是在扫描工作开始之前进行探测,在得到最佳发包速率后利用该速率作为扫描的一个参数来进行扫描工作,并不是在扫描过程实时学习获取最佳发包速率。
本发明解决上述技术问题的技术方案如下:
一种网络扫描发包速率探测系统,包括参数初始化单元、扫描探测单元、发包速率学习更新单元和Socket通信单元;
所述参数初始化单元,负责根据依赖的先验知识下各参数的大致比例及相关关系确定一些重要的初始参数值,包括扫描的IP段网络前缀位数、该IP段的初始端口开放主机数N以及最佳发包速率所处的带宽区间等,为后面的扫描探测单元确定大致的参数范围,以便在该范围内检索最佳发包速率;
所述扫描探测单元,负责对特定目标IP段进行端口扫描,并记录扫描得到的对应端口开放的主机数,同时将结果提供给后续单元进行学习;
所述发包速率学习更新单元,负责根据扫描探测单元得到实时端口开放主机数,并将其与初始端口开放主机数N或者上一轮更新后的端口开放主机数N进行比较,进而动态学习更新,得到准确的适合当时网络环境的扫描发包速率;
所述Socket通信单元,负责实现扫描探测单元与发包速率学习更新单元之间的通信。
进一步地,所述参数初始化单元包括由大量人工实验得到的先验知识;所述先验知识是由大量人工实验得到的,包括扫描主机的上行带宽与最佳发包速率的比例关系、开放80端口较多的稳定IP段以及不同上行带宽所对应的IP段的网络前缀位数等。
进一步地,所述扫描探测单元包括快速端口扫描模块;所述快速端口扫描模块通过快速端口扫描工具对特定IP段进行端口扫描,得到实时端口开放主机数。
进一步地,所述发包速率学习更新单元根据实时端口开放主机数更新N值,并将更新的结果反馈给扫描探测单元。
进一步地,所述Socket通信单元包括扫描探测单元与发包速率学习更新单元之间的通信协议以及通信控制;所述Socket通信单元需保证扫描探测单元与发包速率学习更新单元的通信正常进行并进行异常处理,将扫描探测单元扫描得到的结果发送给发包速率学习更新单元,同时将发包速率学习更新单元得到的更新结果反馈给扫描探测单元进行下一步的扫描探测。
一种采用上述系统的网络扫描发包速率探测方法,包括参数初始化步骤、扫描探测步骤、发包速率学习更新步骤;
1)参数初始化步骤:参数初始化单元根据依赖的先验知识下各参数的大致比例及相关关系确定一些重要的初始参数值,包括扫描的IP段网络前缀位数、该IP段的初始端口开放主机数N以及最佳发包速率所处的带宽区间等,为后面的扫描探测单元确定大致的参数范围,以便在该范围内检索最佳发包速率;
2)扫描探测步骤;扫描探测单元对特定目标IP段进行端口扫描,并将扫描得到的对应端口开放的主机数进行记录,同时将结果提供给后续步骤进行学习;
3)发包速率学习更新步骤:发包速率学习更新单元与扫描探测单元通过Socket方式进行通信,发包速率学习更新单元根据扫描探测部分得到的实时端口开放主机数,并与初始N或者上一轮更新后的N进行比较,进而动态学习更新,得到准确的适合当时网络环境的扫描发包速率。
进一步地,步骤1)将扫描速率划分为多个区间,每个区间对应一个目标IP段的网络前缀位数,根据依赖的先验知识下得到的最佳扫描速率与上行带宽的大致比例初步确定最佳扫描速率所处的区间,确定了所处的区间则同时确定了目标IP段的网络前缀位数,而关于不同网络前缀位数下的初始端口开放主机数N通过多次的先验实验取各自的平均值得到。据此,本发明能够同时考虑到不同网络环境上行带宽的差异,动态确定网络前缀位数,从而在各种网络环境中的探测都能在较短时间内完成。
进一步地,步骤3)中每一轮的更新过程是:指定当前的带宽区间的中值为发包速率,根据扫描探测单元探测得到实时端口开放主机数,并与初始N或者上一轮更新后的N进行比较;如果实时端口开放主机数比N大,说明可以指定更高的发包速率,将发包速率的检索区间缩小至右半区间(即较大的半区间),同时将N更新为当前的端口开放主机数;反之如果实时端口开放主机数比N小,说明当前的发包速率值过高了,将发包速率的检索区间缩小至左半区间(即较小的半区间),N值不变,然后进入新一轮的更新过程直到带宽区间长度缩小为1,此时就得到了适合当时网络环境的扫描发包速率。
与现有技术相比,本发明的有益效果如下:
本发明首先从大量实验数据中获取先验知识,确定算法一些重要参数的初始值,然后在实际探测过程中对特定IP段重复扫描行为,采用实时探测的结果进行端口开放主机数的更新学习,根据实时存活主机数更新优化发包速率,从而能获取得到准确的适合当时网络环境的扫描发包速率;同时考虑到不同网络环境上行带宽的差异,动态确定网络前缀位数,从而在各种网络环境中的探测都能在较短时间内完成。本发明在保证扫描效果的同时最大化的提高了扫描效率。
附图说明
图1为本发明一种网络扫描发包速率探测方法的流程图。
图2为本发明一种网络扫描发包速率探测方法的伪代码流程图。
图3为应用本发明方法进行网络扫描的流程图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
本发明的网络扫描发包速率探测方法是一种学习算法,能在较短时间内自动探测到所处网络环境中的最佳扫描发包速率,从而在保证扫描效果的同时提高了扫描效率。所指的网络环境并没有做特殊要求,不同网络环境中均适用,且不同网络环境中的实施方式一致。
图1为本发明的网络扫描发包速率探测方法的流程图,如该图所示,包括以下步骤:
1)根据用户输入的扫描主机上行带宽以及先验知识得到的大致规律初步确定最佳扫描速率所处的区间,区间对应的目标IP段的网络前缀数以及该网络前缀数下的初始端口存活主机数N;
2)判断当前区间长度是否大于1,如果是则进入步骤3),如果不是则进入步骤4);
3)指定发包速率为当前区间的中值,进行对目标IP段进行端口存活探测,得到实时端口开放主机数tmp;如果tmp大于N,说明可以指定更高的发包速率,将带宽区间缩小至右半区间(即发包速率较大的区间),同时将N更新为tmp;如果tmp小于N,说明当前发包速率过高,则将带宽区间缩小至左半区间(即发包速率较小的区间),N值不变,重复步骤2);
4)判断当前区间的右边界值是否大于左边界值,如果是则利用右边界值作为扫描速率再进行端口存活探测得到实时端口开放主机数tmp,如果tmp大于N,说明右边界值是最佳扫描速率,如果tmp小于N,则说明左边界值是最佳扫描速率;如果左边界值不小于右边界值,则左边界值为最佳扫描速率。
下面给出本发明的网络扫描发包速率探测方法的伪代码,其流程如图2所示:
读入用户输入的上行带宽bandwidth
根据bandwidth,确定扫描发包速率的范围[lbandwidth,rbandwidth]
根据bandwidth,确定目标IP段的网络前缀位数mask以及初始端口开放主机数N
图3为应用本发明的上述方法进行网络扫描的流程图,包括如下步骤:
1)将扫描主机连入将要测试的网络环境中;
2)将该网络环境中的上行带宽作为参数提供给上述方法;
3)运行本发明的最佳速率扫描发包速率探测方法;
4)得到本发明方法建议的发包速率值;
5)在此值的基础上进行网络扫描工作。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (9)

1.一种网络扫描发包速率探测系统,其特征在于,包括参数初始化单元、扫描探测单元、发包速率学习更新单元和Socket通信单元;
所述参数初始化单元负责根据扫描主机的上行带宽和先验知识确定初始参数值,包括最佳扫描速率所处的区间,该区间对应的目标IP段的网络前缀数,以及该网络前缀数下IP段的初始端口开放主机数N;所述先验知识是由大量人工实验得到的,包括扫描主机的上行带宽与最佳发包速率的比例关系、开放80端口较多的稳定IP段以及不同上行带宽所对应的IP段的网络前缀位数;
所述扫描探测单元负责对特定目标IP段进行端口扫描,并记录扫描得到的对应端口开放的主机数;
所述发包速率学习更新单元负责根据扫描探测单元得到实时端口开放主机数,并将其与初始端口开放主机数N或者上一轮更新后的端口开放主机数N进行比较,进而动态学习更新,得到准确的适合当时网络环境的扫描发包速率;
所述Socket通信单元负责实现扫描探测单元与发包速率学习更新单元之间的通信。
2.如权利要求1所述的系统,其特征在于:所述参数初始化单元包括由大量人工实验得到的先验知识;所述参数初始化单元将扫描速率划分为多个区间,每个区间对应一个目标IP段的网络前缀位数,根据依赖的先验知识下得到的最佳扫描速率与上行带宽的大致比例初步确定最佳扫描速率所处的区间,进而确定目标IP段的网络前缀位数,而不同网络前缀位数下的初始端口开放主机数N通过多次的先验实验取各自的平均值得到。
3.如权利要求1所述的系统,其特征在于:所述扫描探测单元通过快速端口扫描工具对特定IP段进行端口扫描,得到实时端口开放主机数。
4.如权利要求1所述的系统,其特征在于:所述发包速率学习更新单元进行的每一轮的更新过程是:指定当前的带宽区间的中值为发包速率,根据扫描探测单元探测得到实时端口开放主机数,并与初始N或者上一轮更新后的N进行比较;如果实时端口开放主机数比N大,说明能够指定更高的发包速率,将发包速率的检索区间缩小至右半区间,同时将N更新为当前的端口开放主机数;反之如果实时端口开放主机数比N小,说明当前的发包速率值过高,将发包速率的检索区间缩小至左半区间,N值不变,然后进入新一轮的更新过程直到带宽区间长度缩小为1,此时即得到适合当时网络环境的扫描发包速率。
5.如权利要求1所述的系统,其特征在于:所述Socket通信单元包括扫描探测单元与发包速率学习更新单元之间的通信协议以及通信控制,保证扫描探测单元与发包速率学习更新单元的通信正常进行并进行异常处理,包括将扫描探测单元扫描得到的结果发送给发包速率学习更新单元,同时将发包速率学习更新单元得到的更新结果反馈给扫描探测单元进行扫描探测。
6.一种采用权利要求1所述系统的网络扫描发包速率探测方法,其特征在于,包括如下步骤:
1)参数初始化单元根据根据扫描主机的上行带宽和先验知识确定初始参数值,包括最佳扫描速率所处的区间,该区间对应的目标IP段的网络前缀数,以及该网络前缀数下IP段的初始端口开放主机数N;所述先验知识是由大量人工实验得到的,包括扫描主机的上行带宽与最佳发包速率的比例关系、开放80端口较多的稳定IP段以及不同上行带宽所对应的IP段的网络前缀位数;
2)扫描探测单元对特定目标IP段进行端口扫描,并记录扫描得到的对应端口开放的主机数;
3)发包速率学习更新单元与扫描探测单元通过Socket方式进行通信,发包速率学习更新单元根据步骤2)得到实时端口开放主机数,并将其与初始端口开放主机数N或者上一轮更新后的端口开放主机数N进行比较,进而动态学习更新,得到准确的适合当时网络环境的扫描发包速率。
7.如权利要求6所述的方法,其特征在于:步骤1)将扫描速率划分为多个区间,每个区间对应一个目标IP段的网络前缀位数,根据依赖的先验知识下得到的最佳扫描速率与上行带宽的大致比例初步确定最佳扫描速率所处的区间,进而确定目标IP段的网络前缀位数,而不同网络前缀位数下的初始端口开放主机数N通过多次的先验实验取各自的平均值得到。
8.如权利要求6所述的方法,其特征在于:步骤3)中每一轮的更新过程是:指定当前的带宽区间的中值为发包速率,根据扫描探测单元探测得到实时端口开放主机数,并与初始N或者上一轮更新后的N进行比较;如果实时端口开放主机数比N大,说明能够指定更高的发包速率,将发包速率的检索区间缩小至右半区间,同时将N更新为当前的端口开放主机数;反之如果实时端口开放主机数比N小,说明当前的发包速率值过高,将发包速率的检索区间缩小至左半区间,N值不变,然后进入新一轮的更新过程直到带宽区间长度缩小为1,此时即得到适合当时网络环境的扫描发包速率。
9.一种网络扫描方法,其特征在于,包括如下步骤:
1)将扫描主机连入待测试的网络环境中;
2)采用权利要求6~8中任一项所述方法探测该网络环境中的最佳网络扫描发包速率;
3)根据步骤2)得到的最佳网络扫描发包速率值进行网络扫描。
CN201610041066.4A 2016-01-21 2016-01-21 一种网络扫描发包速率探测系统及方法 Active CN105634868B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610041066.4A CN105634868B (zh) 2016-01-21 2016-01-21 一种网络扫描发包速率探测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610041066.4A CN105634868B (zh) 2016-01-21 2016-01-21 一种网络扫描发包速率探测系统及方法

Publications (2)

Publication Number Publication Date
CN105634868A CN105634868A (zh) 2016-06-01
CN105634868B true CN105634868B (zh) 2019-07-09

Family

ID=56049398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610041066.4A Active CN105634868B (zh) 2016-01-21 2016-01-21 一种网络扫描发包速率探测系统及方法

Country Status (1)

Country Link
CN (1) CN105634868B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106130813B (zh) * 2016-06-06 2019-04-02 国网山东省电力公司滨州供电公司 一种基于自适应因子探测的智能化网络设备扫描方法
CN106603507A (zh) * 2016-11-29 2017-04-26 哈尔滨安天科技股份有限公司 一种自动化完成网络安全自检的方法及系统
CN111786947B (zh) * 2020-05-18 2021-10-29 北京邮电大学 攻击图的生成方法、装置、电子设备及存储介质
CN114390114B (zh) * 2021-12-17 2023-08-08 苏州浪潮智能科技有限公司 用户数据包协议端口扫描方法、系统、终端及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247631A (zh) * 2007-02-16 2008-08-20 摩托罗拉公司 使用优选的无线电访问技术来扫描网络的方法
CN101707539A (zh) * 2009-11-26 2010-05-12 成都市华为赛门铁克科技有限公司 蠕虫病毒检测方法、装置和网关设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080298333A1 (en) * 2007-06-01 2008-12-04 Lg Electronics Inc. Scanning procedure in wireless lan, station supporting the same, and frame format therefor
US8270975B2 (en) * 2009-01-05 2012-09-18 Intel Corporation Method of managing network traffic within a wireless network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247631A (zh) * 2007-02-16 2008-08-20 摩托罗拉公司 使用优选的无线电访问技术来扫描网络的方法
CN101707539A (zh) * 2009-11-26 2010-05-12 成都市华为赛门铁克科技有限公司 蠕虫病毒检测方法、装置和网关设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于网络断层扫描技术的丢包率研究";闫毅郎;《中国优秀硕士学位论文全文数据库》;20120515;全文 *

Also Published As

Publication number Publication date
CN105634868A (zh) 2016-06-01

Similar Documents

Publication Publication Date Title
CN108289104B (zh) 一种工业SDN网络DDoS攻击检测与缓解方法
CN105634868B (zh) 一种网络扫描发包速率探测系统及方法
CN103379039B (zh) 一种用于流统计的方法、装置及系统
CN111953669B (zh) 适用于SDN的Tor流量溯源与应用类型识别方法和系统
CN109768981B (zh) 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
EP3182656B1 (en) Method and device for discovering a network topology
CN111953552B (zh) 数据流的分类方法和报文转发设备
CN103905251B (zh) 网络拓扑获取方法及装置
CN105991334A (zh) 一种网络拓扑自发现方法及装置
CN102315974A (zh) 基于层次化特征分析的tcp、udp流量在线识别方法和装置
CN110557286A (zh) 一种有效测量并构建IPv6网络拓扑的方法
JP5234544B2 (ja) ネットワーク構成情報取得方法および装置
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
US9374383B2 (en) Events from network flows
CN111711545A (zh) 一种软件定义网络中基于深度包检测技术的加密流量智能识别方法
CN102326370B (zh) 一种报文处理方法、设备和系统
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
CN106899978A (zh) 一种无线网络攻击定位方法
CN108512816B (zh) 一种流量劫持的检测方法及装置
CN108768769A (zh) 控制面和数据面一致性的检测方法、检测系统及交换机
CN107888494B (zh) 一种基于社区发现的包分类方法及系统
Kardes et al. Graph based induction of unresponsive routers in internet topologies
Qin et al. MUCM: multilevel user cluster mining based on behavior profiles for network monitoring
Mardedi et al. Developing computer network based on EIGRP performance comparison and OSPF
CN114244763B (zh) 基于规则引擎的动态网络拓扑管理方法及其系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant