CN101902349B - 一种检测端口扫描行为的方法和系统 - Google Patents
一种检测端口扫描行为的方法和系统 Download PDFInfo
- Publication number
- CN101902349B CN101902349B CN200910085033XA CN200910085033A CN101902349B CN 101902349 B CN101902349 B CN 101902349B CN 200910085033X A CN200910085033X A CN 200910085033XA CN 200910085033 A CN200910085033 A CN 200910085033A CN 101902349 B CN101902349 B CN 101902349B
- Authority
- CN
- China
- Prior art keywords
- client
- access
- open port
- certain
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的快扫描判断准则和慢扫描判断准则同时进行快扫描判断和慢扫描判断,从而实现既能对端口快扫描行为进行检测,又能够很好地发现慢扫描行为。
Description
技术领域
本发明涉及针对网络主机和设备进行端口扫描行为的检测,具体涉及一种在网络设备或主机终端上搜集主机或网络设备的端口资产信息和端口资产的活动信息,并根据这些端口资产信息以及端口资产的活动信息来检测针对这些网络设备和主机终端所进行的端口扫描行为,包括TCP端口扫描与UDP端口扫描的检测。
背景技术
端口扫描,尤其是端口慢扫描是网络攻击之前常见的信息搜集行为,攻击者通过这种端口的探测来发现目标主机上开放的服务,甚至运行的软件类型,这样攻击者就可以在进行攻击的时候选择合适的攻击手段和攻击计数对目标主机进行渗透。因此,虽然端口扫描行为本身并不会对被攻击的目标主机产生太大的影响,但是攻击者通过端口扫描所获得的数据信息却为攻击者的下一步攻击行为提供了重要的信息,因此,及时准确地检测到端口扫描行为,不但能够尽早预警攻击者的攻击行为,为攻击阻断和攻击取证争取宝贵的响应时间,还能避免因为攻击行为自身过于复杂而带来的检测漏报的问题,因此,对于扫描的检测就成了检测威胁的重要环节。
端口扫描分为多种形式,但都可以分为TCP端口扫描和UDP端口扫描两种类型,一般来说,TCP端口扫描用于获取TCP端口的开放信息,UDP端口扫描用于获取UDP端口开放的信息,在终端扫描中TCP端口扫描占绝大多数,而TCP端口扫描上又分为TCP SYN Only端口扫描和TCP全连接扫描,前一种扫描仅发送TCP SYN握手报文,而不会完成完整的三次握手过程,因此判断起来比较容易,后一种扫描会建立完整的TCP握手,所以检测起来相对困难,隐蔽性比较高。
从使用的方式上来说,端口扫描又分为慢扫描和快扫描两种,在大多数情况下,一般水平的攻击者往往会采用快扫描的方式进行端口探测,但是这种方式对于一般的检测软件都能很容易地检测到,而有经验的攻击者为了躲避检测软件的检测,往往采取更为少见的慢扫描的方式进行端口探测,着重在很长时间内探测有限端口的办法非常隐蔽,很难在正常的访问中将他们识别出来,因此也就成为各种检测产品的一大难题。
发明内容
本发明要解决的技术问题是提出一种检测端口扫描行为的方法和系统,对资产信息进行统计分析,以实现既能对端口快扫描行为进行检测,又能够很好地发现慢扫描行为。
为了解决上述技术问题,本发明提出一种检测端口扫描行为的方法,包含步骤:
将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;
监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;
根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;
按照预置的快扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一快扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于快扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行快扫描,执行相应的快扫描防御对策;以及
按照预置的慢扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一慢扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于慢扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行慢扫描,执行相应的慢扫描防御对策。
进一步地,上述方法还可具有以下特点:
所述受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数的计算步骤包含:
根据各访问客户端的开放端口访问列表和未开放端口访问列表,分别统计各访问客户端对每一受保护的客户端的开放端口访问过的个数以及对未开放端口访问过的个数;
分别计算每一受保护客户端的开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的开放端口被各访问客户端平均访问过的个数;以及分别计算每一受保护客户端的未开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的未开放端口被各访问客户端平均访问过的个数。
进一步地,上述方法还可具有以下特点:
对各受保护的客户端的开放端口和未开放端口被各访问客户端平均访问过的个数的计算是实时进行的,或者是按照一预置的计算周期进行的。
进一步地,上述方法还可具有以下特点:
维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表包含:
不断捕获网络报文,提取网络报文中源IP地址和目的IP地址,并判断提取出的目的IP地址是否与配置文件中某一受保护的客户端的IP地址相符合,如果IP地址相符合,继续判断该目的端口号是否与配置文件中具有该目的IP地址的受保护的客户端的某一开放的端口号相符合,如端口号相符合,则将该端口号存储于具有该源IP地址的客户端的开放端口访问列表中,如果端口号不相符,则将该端口号存储于具有该源IP地址的客户端的未开放端口访问列表中。
进一步地,上述方法还可具有以下特点:
还包含持续统计各访问客户端的未开放端口访问列表中存储的各受保护的客户端的各未开放端口被访问的次数,并与一预置的校验次数进行比较,当某一访问客户端的未开放端口访问列表中存储的某一受保护的客户端的某一未开放端口被访问的次数大于该预置的校验次数,则认为该某一未开放端口为该某一受保护的客户端的开放端口,修改配置文件中该某一未开放端口为该某一受保护的客户端的开放端口。
为了解决上述技术问题,本发明还提出一种检测端口扫描行为的系统,包含配置模块、监测模块、统计模块、检测模块和处理模块,其中:
配置模块,配置受保护的客户端,将各受保护的客户端的IP地址与其开放的端口号的对应关系存储于配置模块中的配置文件;
监测模块,监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;
统计模块,根据监测模块中各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算并存储各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;
检测模块,按照预置的快扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一快扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于快扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行快扫描,控制处理模块执行快扫描防御对策;以及按照预置的慢扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一慢扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于慢扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行慢扫描,控制处理模块执行慢扫描防御对策;
处理模块,在检测模块的控制下进行执行快扫描防御对策或者慢扫描防御对策。
进一步地,上述系统还可具有以下特点:
统计模块根据监测模块中各访问客户端的开放端口访问列表和未开放端口访问列表,分别统计各访问客户端对每一受保护的客户端的开放端口访问过的个数以及对未开放端口访问过的个数,然后分别计算每一受保护客户端的开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的开放端口被各访问客户端平均访问过的个数;以及分别计算每一受保护客户端的未开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的未开放端口被各访问客户端平均访问过的个数。
进一步地,上述系统还可具有以下特点:
统计模块对各受保护的客户端的开放端口和未开放端口被各访问客户端平均访问过的个数的计算是实时进行的,或者是按照一预置的计算周期进行的。
进一步地,上述系统还可具有以下特点:
监测模块不断捕获网络报文,提取网络报文中源IP地址和目的IP地址,并判断提取出的目的IP地址是否与配置文件中某一受保护的客户端的IP地址相符合,如果IP地址相符合,继续判断该目的端口号是否与配置文件中具有该目的IP地址的受保护的客户端的某一开放的端口号相符合,如端口号相符合,则将该端口号存储于具有该源IP地址的客户端的开放端口访问列表中,如果端口号不相符,则将该端口号存储于具有该源IP地址的客户端的未开放端口访问列表中。
进一步地,上述系统还可具有以下特点:
还包含一校验模块,其中:
校验模块持续统计监测模块中各访问客户端的未开放端口访问列表中存储的各受保护的客户端的各未开放端口被访问的次数,并与一预置的校验次数进行比较,当某一访问客户端的未开放端口访问列表中存储的某一受保护的客户端的某一未开放端口被访问的次数大于该预置的校验次数,则认为该某一未开放端口为该某一受保护的客户端的开放端口,修改配置文件中该某一未开放端口为该某一受保护的客户端的开放端口。
本发明提供的一种检测端口扫描行为的方法和系统,不但可以对常见的端口快扫描行为进行检测,还可以对大量隐蔽的,被认为是很难发现的端口慢扫描行为进行检测,同时还避免了传统方法的漏报和误报的缺点。
附图说明
图1是本发明实施例一种端口扫描行为数据采集方法流程图;
图2是本发明实施例一种端口扫描行为统计学习的方法流程图;
图3是本发明实施例一种端口快扫描行为判断的方法流程图;
图4是本发明实施例一种端口慢扫描行为判断的方法流程图;
图5是本发明实施例一种对配置的端口性质进行校验的方法流程图;
图6是本发明实施例一种检测端口扫描行为的系统方框图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
参考图1,该图示出了本发明实施例一种端口扫描行为数据采集方法,包含如下步骤:
步骤S101:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;
所述端口号为UDP/TCP端口号;
所述客户端为主机终端或设备;
步骤S102:不断捕获网络报文,并提取网络报文中源IP地址和目的IP地址;
步骤S103:依次判断提取出的目的IP地址是否与配置文件中某一受保护的客户端的IP地址相符合,如果判断结果为“是”,则进入步骤S104;如果判断结果为“否”,则结束;
如果提取出的一目的IP地址符合配置文件中某一受保护的客户端的IP地址,则认为该报文为一具有该源IP地址的客户端向一具有该目的IP地址的受保护的客户端发起访问的报文;
步骤S104:提取该报文中的目的端口号,判断该目的端口号是否与配置文件中具有该目的IP地址的受保护的客户端的某一开放的端口号相符合,如果判断结果为“是”,则进入步骤S105;如果判断结果为“否”,则进入步骤S106;
步骤S105:将该端口号存储于具有该源IP地址的客户端的开放端口访问列表中;
该开放端口访问列表中存储的是具有该源IP地址的客户端访问的各受保护的客户端的开放的端口号的信息;
步骤S106:将该端口号存储于具有该源IP地址的客户端的未开放端口访问列表中;
该未开放端口访问列表中存储的是具有该源IP地址的客户端访问的各受保护的客户端的未开放的端口号的信息。
上述步骤S101~步骤S106介绍了如何监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表的方法。
下面将介绍如何根据上述步骤S105和步骤S106中采集到的扫描行为数据进行统计学习,参考图2,包含如下步骤:
步骤S201:根据各访问客户端的开放端口访问列表和未开放端口访问列表,分别统计各访问客户端对每一受保护的客户端的开放端口访问过的个数以及对未开放端口访问过的个数;
步骤S202:分别计算每一受保护客户端的开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的开放端口被各访问客户端平均访问过的个数;以及分别计算每一受保护客户端的未开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的未开放端口被各访问客户端平均访问过的个数;
例如,存在2个访问客户端A和B,其中:A客户端的开放端口访问列表和未开放访问列表中分别记载着A访问过受保护客户端E的2个开放端口和4个未开放端口,A还访问过受保护客户端F的6个开放端口和8个未开放端口;B客户端的开放端口访问列表和未开放访问列表中分别记载着B访问过受保护客户端E的6个未开放端口。那么,受保护客户端E的开放端口被各访问客户端平均访问过的个数=(2+0)/2=1个,受保护客户端E的未开放端口被各访问客户端平均访问过的个数=(4+6)/2=5个,受保护客户端F的开放端口被各访问客户端平均访问过的个数=(6+0)/2=3个,受保护客户端E的未开放端口被各访问客户端平均访问过的个数=(8+0)/2=4个。
上述对各受保护的客户端的开放端口和未开放端口被各访问客户端平均访问过的个数的计算可以是实时进行的,也可以是按照一预置的计算周期进行的。
下面结合图1、图2,参考图3,该图示出了本发明实施例利用采集到的扫描行为数据,以及计算出的每一受保护客户端的开放端口及未开放端口被各访问客户端平均访问过的个数来进行快扫描行为判断的方法,包含步骤:
步骤S301:持续统计每一预置的快扫描判断周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数;
步骤S302:在每一预置的快扫描判断周期结束时,根据本周期内的统计结果,判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一快扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于一快扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行快扫描,进入步骤S303;否则,结束;
步骤S303:执行相应的快扫描防御对策,结束。
下面结合图1、图2,参考图4,该图示出了本发明实施例利用采集到的扫描行为数据,以及计算出的每一受保护客户端的开放端口及未开放端口被各访问客户端平均访问过的个数来进行慢扫描行为判断的方法,包含步骤:
步骤S401:持续统计每一预置的慢扫描判断周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数;
该预置的慢扫描判断周期大于上述预置的快扫描判断周期;
步骤S402:在每一预置的慢扫描判断周期结束时,根据本周期内的统计结果,判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一慢扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于一慢扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行慢扫描,进入步骤S403;否则,结束;
步骤S403:执行相应的慢扫描防御对策,结束。
另外,本发明实施例还提供了一种对配置的端口性质进行校验的方法,参考图5,包含步骤:
步骤S501:持续统计各访问客户端的未开放端口访问列表中存储的各受保护的客户端的各未开放端口被访问的次数,并与一预置的校验次数进行比较;
步骤S502:当某一访问客户端的未开放端口访问列表中存储的某一受保护的客户端的某一未开放端口被访问的次数大于该预置的校验次数,则认为该某一未开放端口为该某一受保护的客户端的开放端口,修改配置文件中该某一未开放端口为该某一受保护的客户端的开放端口。
为了实现本发明上述检测端口扫描行为的方法,本发明实施例还提出一种检测端口扫描行为的系统,参考图6,包含配置模块61、监测模块62、统计模块63、检测模块64、处理模块65和校验模块66,其中:
配置模块61,配置受保护的客户端,将各受保护的客户端的IP地址与其开放的端口号的对应关系存储于配置模块61中的配置文件。
监测模块62,监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表。具体来说,监测模块62不断捕获网络报文,提取网络报文中源IP地址和目的IP地址,并判断提取出的目的IP地址是否与配置文件中某一受保护的客户端的IP地址相符合,如果IP地址相符合,继续判断该目的端口号是否与配置文件中具有该目的IP地址的受保护的客户端的某一开放的端口号相符合,如端口号相符合,则将该端口号存储于具有该源IP地址的客户端的开放端口访问列表中,如果端口号不相符,则将该端口号存储于具有该源IP地址的客户端的未开放端口访问列表中。
统计模块63,根据监测模块62中各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算并存储各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数。具体来说,统计模块63根据监测模块62中各访问客户端的开放端口访问列表和未开放端口访问列表,分别统计各访问客户端对每一受保护的客户端的开放端口访问过的个数以及对未开放端口访问过的个数,然后分别计算每一受保护客户端的开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的开放端口被各访问客户端平均访问过的个数;以及分别计算每一受保护客户端的未开放端口被各访问客户端访问过的个数之和,再除以访问端口的个数,以得到每一受保护客户端的未开放端口被各访问客户端平均访问过的个数。统计模块63对各受保护的客户端的开放端口和未开放端口被各访问客户端平均访问过的个数的计算是实时进行的,或者是按照一预置的计算周期进行的。
检测模块64,按照预置的快扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一快扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于快扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行快扫描,控制处理模块65执行快扫描防御对策;以及按照预置的慢扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一慢扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于慢扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行慢扫描,控制处理模块65执行慢扫描防御对策。
处理模块65,在检测模块64的控制下进行执行快扫描防御对策或者慢扫描防御对策。
校验模块66,持续统计监测模块62中各访问客户端的未开放端口访问列表中存储的各受保护的客户端的各未开放端口被访问的次数,并与一预置的校验次数进行比较,当某一访问客户端的未开放端口访问列表中存储的某一受保护的客户端的某一未开放端口被访问的次数大于该预置的校验次数,则认为该某一未开放端口为该某一受保护的客户端的开放端口,修改配置文件中该某一未开放端口为该某一受保护的客户端的开放端口。
虽然本发明所提出的实施例和实施方式如上,但是所述的内容并非用来直接限定本发明的专利保护范围。任何本发明所属技术领域中具有通常技术知识的人员,在不脱离本发明所提出的精神和范围的前提下,可以在实施的形式上及细节上作一些更改。本发明的专利保护范围,仍须以所附的权利要求书范围所界定为准。
Claims (10)
1.一种检测端口扫描行为的方法,包含步骤:
将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;
监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;
根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;
按照预置的快扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一快扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于快扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行快扫描,执行相应的快扫描防御对策;以及
按照预置的慢扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一慢扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于慢扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行慢扫描,执行相应的慢扫描防御对策。
2.如权利要求1所述的方法,其特征在于,所述受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数的计算步骤包含:
根据各访问客户端的开放端口访问列表和未开放端口访问列表,分别统计各访问客户端对每一受保护的客户端的开放端口访问过的个数以及对未开放端口访问过的个数;
分别计算每一受保护客户端的开放端口被各访问客户端访问过的个数之和,再除以访问客户端的个数,以得到每一受保护客户端的开放端口被各访问客户端平均访问过的个数;以及分别计算每一受保护客户端的未开放端口被各访问客户端访问过的个数之和,再除以访问客户端的个数,以得到每一受保护客户端的未开放端口被各访问客户端平均访问过的个数。
3.如权利要求2所述的方法,其特征在于:
对各受保护的客户端的开放端口和未开放端口被各访问客户端平均访问过的个数的计算是实时进行的,或者是按照一预置的计算周期进行的。
4.如权利要求1所述的方法,其特征在于,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表包含:
不断捕获网络报文,提取网络报文中源IP地址和目的IP地址,并判断提取出的目的IP地址是否与配置文件中某一受保护的客户端的IP地址相符合,如果IP地址相符合,继续判断该目的端口号是否与配置文件中具有该目的IP地址的受保护的客户端的某一开放的端口号相符合,如端口号相符合,则将该端口号存储于具有该源IP地址的客户端的开放端口访问列表中,如果端口号不相符,则将该端口号存储于具有该源IP地址的客户端的未开放端口访问列表中。
5.如权利要求1所述的方法,其特征在于:
还包含持续统计各访问客户端的未开放端口访问列表中存储的各受保护的客户端的各未开放端口被访问的次数,并与一预置的校验次数进行比较,当某一访问客户端的未开放端口访问列表中存储的某一受保护的客户端的某一未开放端口被访问的次数大于该预置的校验次数,则认为该某一未开放端口为该某一受保护的客户端的开放端口,修改配置文件中该某一未开放端口为该某一受保护的客户端的开放端口。
6.一种检测端口扫描行为的系统,包含配置模块、监测模块、统计模块、检测模块和处理模块,其中:
配置模块,配置受保护的客户端,将各受保护的客户端的IP地址与其开放的端口号的对应关系存储于配置模块中的配置文件;
监测模块,监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;
统计模块,根据监测模块中各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算并存储各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;
检测模块,按照预置的快扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一快扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于快扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行快扫描,控制处理模块执行快扫描防御对策;以及按照预置的慢扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一慢扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于慢扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行慢扫描,控制处理模块执行慢扫描防御对策;
处理模块,在检测模块的控制下进行执行快扫描防御对策或者慢扫描防御对策。
7.如权利要求6所述的系统,其特征在于:
统计模块根据监测模块中各访问客户端的开放端口访问列表和未开放端口访问列表,分别统计各访问客户端对每一受保护的客户端的开放端口访问过的个数以及对未开放端口访问过的个数,然后分别计算每一受保护客户端的开放端口被各访问客户端访问过的个数之和,再除以访问客户端的个数,以得到每一受保护客户端的开放端口被各访问客户端平均访问过的个数;以及分别计算每一受保护客户端的未开放端口被各访问客户端访问过的个数之和,再除以访问客户端的个数,以得到每一受保护客户端的未开放端口被各访问客户端平均访问过的个数。
8.如权利要求7所述的系统,其特征在于:
统计模块对各受保护的客户端的开放端口和未开放端口被各访问客户端平均访问过的个数的计算是实时进行的,或者是按照一预置的计算周期进行的。
9.如权利要求6所述的系统,其特征在于:
监测模块不断捕获网络报文,提取网络报文中源IP地址和目的IP地址,并判断提取出的目的IP地址是否与配置文件中某一受保护的客户端的IP地址相符合,如果IP地址相符合,继续判断该目的端口号是否与配置文件中具有该目的IP地址的受保护的客户端的某一开放的端口号相符合,如端口号相符合,则将该端口号存储于具有该源IP地址的客户端的开放端口访问列表中,如果端口号不相符,则将该端口号存储于具有该源IP地址的客户端的未开放端口访问列表中。
10.如权利要求6所述的系统,其特征在于,还包含一校验模块,其中:
校验模块持续统计监测模块中各访问客户端的未开放端口访问列表中存储的各受保护的客户端的各未开放端口被访问的次数,并与一预置的校验次数进行比较,当某一访问客户端的未开放端口访问列表中存储的某一受保护的客户端的某一未开放端口被访问的次数大于该预置的校验次数,则认为该某一未开放端口为该某一受保护的客户端的开放端口,修改配置文件中该某一未开放端口为该某一受保护的客户端的开放端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910085033XA CN101902349B (zh) | 2009-05-27 | 2009-05-27 | 一种检测端口扫描行为的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910085033XA CN101902349B (zh) | 2009-05-27 | 2009-05-27 | 一种检测端口扫描行为的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101902349A CN101902349A (zh) | 2010-12-01 |
CN101902349B true CN101902349B (zh) | 2012-10-31 |
Family
ID=43227571
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910085033XA Expired - Fee Related CN101902349B (zh) | 2009-05-27 | 2009-05-27 | 一种检测端口扫描行为的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101902349B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015027523A1 (zh) * | 2013-09-02 | 2015-03-05 | 北京东土科技股份有限公司 | 一种确定tcp端口扫描的方法及装置 |
CN103561048B (zh) * | 2013-09-02 | 2016-08-31 | 北京东土科技股份有限公司 | 一种确定tcp端口扫描的方法及装置 |
CN103685279B (zh) * | 2013-12-18 | 2016-08-03 | 东南大学 | 基于自适应的网络端口快速扫描方法 |
CN104113553A (zh) * | 2014-07-29 | 2014-10-22 | 网神信息技术(北京)股份有限公司 | 端口状态识别方法、装置和系统 |
CN104363592A (zh) * | 2014-10-30 | 2015-02-18 | 苏州佑瑞检测技术有限公司 | 一种无线局域网安全评估方法 |
CN104363610A (zh) * | 2014-10-30 | 2015-02-18 | 苏州佑瑞检测技术有限公司 | 一种无线局域网安全评估系统 |
CN107733699B (zh) * | 2017-09-28 | 2021-04-09 | 深信服科技股份有限公司 | 互联网资产安全管理方法、系统、设备及可读存储介质 |
CN107920077A (zh) * | 2017-11-21 | 2018-04-17 | 湖北鑫英泰系统技术股份有限公司 | 一种用于电力调度系统的拒接服务攻击判断方法及装置 |
CN109995727B (zh) * | 2017-12-30 | 2021-11-09 | 中国移动通信集团河北有限公司 | 渗透攻击行为主动防护方法、装置、设备及介质 |
CN111478925B (zh) * | 2020-05-21 | 2022-12-06 | 四川英得赛克科技有限公司 | 应用于工业控制环境的端口扫描检测方法、系统 |
CN113542310B (zh) * | 2021-09-17 | 2021-12-21 | 上海观安信息技术股份有限公司 | 一种网络扫描检测方法、装置及计算机存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1421772A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种察觉入侵扫描行为保护系统安全的新方法 |
JP2005175714A (ja) * | 2003-12-09 | 2005-06-30 | Kenji Ishida | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム |
CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
-
2009
- 2009-05-27 CN CN200910085033XA patent/CN101902349B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1421772A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种察觉入侵扫描行为保护系统安全的新方法 |
JP2005175714A (ja) * | 2003-12-09 | 2005-06-30 | Kenji Ishida | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム |
CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101902349A (zh) | 2010-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101902349B (zh) | 一种检测端口扫描行为的方法和系统 | |
CN101567812B (zh) | 对网络攻击进行检测的方法和装置 | |
CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
US20120124666A1 (en) | Method for detecting and preventing a ddos attack using cloud computing, and server | |
CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
CN101572691A (zh) | 一种入侵检测方法、系统和装置 | |
CN106790313A (zh) | 入侵防御方法及装置 | |
CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
CN113746810B (zh) | 一种网络攻击诱导方法、装置、设备及存储介质 | |
CN106254318A (zh) | 一种网络攻击分析方法 | |
CN109600362A (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
CN108234486A (zh) | 一种网络监测方法及监测服务器 | |
CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
CN114679327A (zh) | 网络攻击等级确定方法、装置、计算机设备和存储介质 | |
CN112702321B (zh) | 分布式交易限流方法、装置、设备及存储介质 | |
CN113676497A (zh) | 数据阻断的方法和装置、电子设备和存储介质 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
Nakahara et al. | Machine Learning based Malware Traffic Detection on IoT Devices using Summarized Packet Data. | |
CN113660291B (zh) | 智慧大屏显示信息恶意篡改防护方法及装置 | |
CN114422186B (zh) | 一种攻击检测方法、装置、电子设备及存储介质 | |
CN111147497B (zh) | 一种基于知识不对等的入侵检测方法、装置以及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121031 Termination date: 20180527 |
|
CF01 | Termination of patent right due to non-payment of annual fee |