CN103051620A - 端口扫描方法 - Google Patents
端口扫描方法 Download PDFInfo
- Publication number
- CN103051620A CN103051620A CN2012105588684A CN201210558868A CN103051620A CN 103051620 A CN103051620 A CN 103051620A CN 2012105588684 A CN2012105588684 A CN 2012105588684A CN 201210558868 A CN201210558868 A CN 201210558868A CN 103051620 A CN103051620 A CN 103051620A
- Authority
- CN
- China
- Prior art keywords
- scanning
- port
- target
- scanned
- port scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000001514 detection method Methods 0.000 claims abstract description 35
- 238000002922 simulated annealing Methods 0.000 claims abstract description 18
- 230000008569 process Effects 0.000 claims abstract description 7
- 230000007123 defense Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 10
- 238000012360 testing method Methods 0.000 description 4
- 230000035515 penetration Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种端口扫描方法,其包括以下步骤:客户端将待扫描目标提交给云平台中的控制主节点;所述控制主节点按照模拟退火算法将端口扫描任务分配给所述云平台中的多个工作节点;所述多个工作节点分别对所述待扫描目标进行端口扫描,并采用模拟退火算法计算符合入侵检测系统对端口扫描的约束参数的较优解;所述多个工作节点将扫描结果反馈至所述控制主节点,所述控制主节点对所述扫描结果进行处理并反馈至所述客户端。所述端口扫描方法可有效地结合利用云平台的资源,提高扫描效率,且采用模拟退火算法结合已有的端口扫描技术,提高了端口扫描行为的隐蔽性,可以有效地避免被入侵检测系统侦测到。
Description
技术领域
本发明涉及端口扫描方法,尤其涉及一种避免被入侵检测系统侦测到的端口扫描方法。
背景技术
在渗透测试中,黑盒测试是设计成为模拟攻击者的入侵行为,并在不了解客户组织大部分信息和知识的情况下实施的。它可以用来测试内部安全团队检测和应对一次攻击的能力。一次黑盒测试主要包括以下几个阶段:1、情报收集阶段,2、威胁建模阶段,3、漏洞分析阶段,4、渗透攻击阶段,5、后渗透攻击阶段,6、报告阶段。在上述几个阶段中,情报收集是后面几个阶段的前提,而端口扫描又是情报收集的一种重要手段。
如果被测试目标中安装有入侵检测系统或者入侵防御系统,端口扫描的行为则有可能会被发现,从而影响后续阶段的执行,甚至将造成后续阶段不能执行。入侵检测(或防御)系统对端口扫描检测的工作原理大致如下:在一定时间T内,如果某些异常行为超过一个临界值R,则被认定为收到了一次端口扫描攻击。目前逃避被检测的方法主要是通过拉长扫描时间,或者增加虚假IP来扰乱入侵检测(或防御)系统对端口扫描的判断。但是,这样的做法有一定的时间局限性,且需要花费很长的时间才能完成一次任务。
发明内容
针对上述问题,本发明的目的是提供一种避免被入侵检测系统侦测到的端口扫描方法。
一种端口扫描方法,其包括以下步骤:
客户端将待扫描目标提交给云平台中的控制主节点;
所述控制主节点按照模拟退火算法将端口扫描任务分配给所述云平台中的多个工作节点;
所述多个工作节点分别对所述待扫描目标进行端口扫描,并采用模拟退火算法计算符合入侵检测系统对端口扫描的约束参数的较优解;
所述多个工作节点将扫描结果反馈至所述控制主节点,所述控制主节点对所述扫描结果进行处理并反馈至所述客户端。
本发明一较佳实施方式中,所述多个工作节点的对所述待扫描目标的扫描方法包括TCP连接扫描、TCP Syn扫描、TCP FIN扫描、TCP Ack扫描、TCP Null扫描、Xmas扫描、UDP扫描、TCP Window扫描及TCPMaimon扫描。
本发明一较佳实施方式中,所述客户端提交所述待扫描目标给所述控制主节点时的端口扫描任务包括所述待扫描目标的IP范围、端口范围、入侵检测/防御系统对端口扫描的约束参数及被检测概率。
本发明一较佳实施方式中,所述工作节点对所述待扫描目标进行端口扫描时,在入侵检测系统的对临界值的刷新时间内,同一IP进行X扫描的次数小于入侵检测系统判断为扫描行为的临界值。
本发明另外提供一种端口扫描系统,其包括客户端、设置于云平台的控制主节点及设置于云平台的多个工作节点;所述客户端和所述控制主节点通信连接,所述客户端将待扫描目标提交给所述控制主节点,由所述控制主节点按照模拟退火算法将端口扫描任务分配给所述多个工作节点,所述多个工作节点分别对所述待扫描目标进行端口扫描,并将扫描结果反馈至所述控制主节点,所述控制主节点对所述扫描结果进行处理并反馈至所述客户端。
相较于现有技术,本发明提供的端口扫描方法中客户端通过云平台中的控制主节点和多个动作节点简介对待扫描目标进行端口扫描,由此可以有效地结合利用云平台的资源,提高扫描效率。此外,所述端口扫描方法采用模拟退火算法结合已有的端口扫描技术,提高了端口扫描行为的隐蔽性,可以有效地实现避免被入侵检测系统侦测到的目的。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举实施例,并配合附图,详细说明如下。
附图说明
图1为本发明第一实施例提供的端口扫描方法的流程图。
图2为工作节点的工作方式示意图。
图3为图1所示端口扫描方法采用模拟推法算法的流程图。
图4为本发明第二实施例提供的端口扫描系统的架构图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
请参阅图1,本发明第一实施例提供一种端口扫描方法,其可避免被入侵检测系统侦测到,所述端口扫描方法包括以下步骤:
步骤S101、客户端将待扫描目标提交给云平台中的控制主节点。
步骤S103、所述控制主节点按照模拟退火算法将端口扫描任务分配给所述云平台中的多个工作节点。
本实施例中,所述模拟退火算法包括以下内容:
1、分别确定所述多个工作节点的对所述待扫描目标的扫描方法,如TCP连接扫描、TCP Syn扫描、TCP FIN扫描、TCP Ack扫描、TCP Null扫描、Xmas扫描、UDP扫描、TCP Window扫描、TCP Maimon扫描等。
可以理解的是,每一所述工作节点均可采用一种或多种扫描方法。
可以理解的是,对于不同的扫描方法,具有不同的入侵检测系统(防御)对端口扫描的约束参数(Constraints)C1、C2、C3、C4……Cn+1,如:
C1:在t1时间内n1<k1,此处n1为同一IP进行TCP连接扫描的次数,k1为入侵检测(防御)系统判断为连接扫描行为的临界值,t1为入侵检测(防御)系统的对临界值的刷新时间。
C2:在t2时间内n2<k2,此处n2为同一IP进行TCP Syn扫描的次数,k2为入侵检测(防御)系统判断为TCP Syn扫描行为的临界值,t2为入侵检测(防御)系统的对临界值的刷新时间。
C3:在t3时间内n3<k3,此处n3为同一IP进行TCP FIN扫描的次数,k3为入侵检测(防御)系统判断为TCP FIN扫描行为的临界值,t3为入侵检测(防御)系统的对临界值的刷新时间。
C4:在t4时间内n4<k4,此处n4为同一IP进行TCP Ack扫描的次数,k4为入侵检测(防御)系统判断为TCP Ack扫描行为的临界值,t4为入侵检测(防御)系统的对临界值的刷新时间。
Ci:在ti时间内ni<ki,此处ni为同一IP进行X扫描的次数,ki为入侵检测(防御)系统判断为X扫描行为的临界值,ti为入侵检测(防御)系统的对临界值的刷新时间。
Cn+1:Ns/(n1+n2+…+nn)<ε其中,Ns为虚假的IP发送的扫描次数,ε为可以接受的被检测到的概率。
2、输入值。
即所述客户端提交所述待扫描目标给云平台中的控制主节点时的端口扫描任务。本实施例中,所述输入值包括所述待扫描目标的IP地址或IP范围;端口范围;入侵检测系统对端口扫描的约束参数(Constraints):k1、k2、k3、……、kn,t1、t2、t3、……、tn,ε;以及虚假的IP地址数据库。
3、输出所述多个工作节点对所述带扫描目标进行端口扫描的执行方式。
本实施例中,输出所述多个工作节点对所述带扫描目标进行端口扫描的执行方式为一套执行列表,如图2所示,每一所述工作节点均按照所述执行列表执行工作,即对所述待扫描目标进行端口扫描。
步骤S105、所述多个工作节点分别对所述待扫描目标进行端口扫描,并采用模拟退火算法计算符合入侵检测系统对端口扫描的约束参数的较优解。
可以理解的是,所述多个工作节点即按照所述执行列表对所述待扫描目标进行端口扫描。
具体地,请参阅图2,对于工作节点1,在t1时间内,其以虚假IP1对所述待扫描目标进行TCP连续扫描n1次,且n1<k1;完成后,在t2时间内,以虚假IP2对所述待扫描目标进行其他端口扫描方法;直至所述工作节点1完成全部扫描任务,获得最终的扫描结果。同样地,工作节点2、工作节点n均相应地执行扫描任务。
4、算法流程。本实施例中,采用模拟退火算法(Simulated AnnealingAlgorithm)计算符合入侵检测系统对端口扫描的约束参数的较优解Sbest,具体流程请参阅图3。
第一、初始化一个抖动参数。
第二、假设一个符合约束的解(solution)的集合S,如假设n1、n2、……、nn和使用所述工作节点个数N是一个解S0。
第三、假设一个优化方程F。
F=αTtotal+βNslave
其中,
Tperiod=max(t1,t2,t3,…,tn)
α和β是常数,Ttotal是所需要总时间,Nslave是所述工作节点的个数。
第四、执行模拟退火算法流程。
如果F(S1)-F(S0)<0,则执行以下函数:
此处i、j是算法精确度,i、j越大表示算法精确度越高。
步骤S107、所述多个工作节点将扫描结果反馈至所述控制主节点,所述控制主节点对所述扫描结果进行处理并反馈至所述客户端。
请参阅图4,本发明第二实施例提供一种端口扫描系统100,所述端口扫描系统100包括客户端10、设置于云平台20的控制主节点30及设置于云平台20的多个工作节点40。所述客户端10和所述控制主节点30通信连接,所述客户端10将待扫描目标50提交给所述控制主节点30,由所述控制主节点30按照模拟退火算法将端口扫描任务分配给所述多个工作节点30,所述多个工作节点30分别对所述待扫描目标50进行端口扫描,并将扫描结果反馈至所述控制主节点30,所述控制主节点30对所述扫描结果进行处理并反馈至所述客户端10。
相较于现有技术,本发明提供的端口扫描方法中客户端通过云平台中的控制主节点和多个动作节点简介对待扫描目标进行端口扫描,由此可以有效地结合利用云平台的资源,提高扫描效率。此外,所述端口扫描方法采用模拟退火算法结合已有的端口扫描技术,提高了端口扫描行为的隐蔽性,可以有效地实现避免被入侵检测系统侦测到的目的。
以上所述,仅是本发明的实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (5)
1.一种端口扫描方法,其特征在于,所述端口扫描方法包括以下步骤:
客户端将待扫描目标提交给云平台中的控制主节点;
所述控制主节点按照模拟退火算法将端口扫描任务分配给所述云平台中的多个工作节点;
所述多个工作节点分别对所述待扫描目标进行端口扫描,并采用模拟退火算法计算符合入侵检测系统对端口扫描的约束参数的较优解;
所述多个工作节点将扫描结果反馈至所述控制主节点,所述控制主节点对所述扫描结果进行处理并反馈至所述客户端。
2.如权利要求1所述的端口扫描方法,其特征在于,所述多个工作节点的对所述待扫描目标的扫描方法包括TCP连接扫描、TCP Syn扫描、TCP FIN扫描、TCP Ack扫描、TCP Null扫描、Xmas扫描、UDP扫描、TCP Window扫描及TCP Maimon扫描。
3.如权利要求1所述的端口扫描方法,其特征在于,所述客户端提交所述待扫描目标给所述控制主节点时的端口扫描任务包括所述待扫描目标的IP范围、端口范围、入侵检测/防御系统对端口扫描的约束参数及被检测概率。
4.如权利要求1所述的端口扫描方法,其特征在于,所述工作节点对所述待扫描目标进行端口扫描时,在入侵检测系统的对临界值的刷新时间内,同一IP进行X扫描的次数小于入侵检测系统判断为扫描行为的临界值。
5.一种端口扫描系统,其特征在于,所述端口扫描系统包括客户端、设置于云平台的控制主节点及设置于云平台的多个工作节点;所述客户端和所述控制主节点通信连接,所述客户端将待扫描目标提交给所述控制主节点,由所述控制主节点按照模拟退火算法将端口扫描任务分配给所述多个工作节点,所述多个工作节点分别对所述待扫描目标进行端口扫描,并将扫描结果反馈至所述控制主节点,所述控制主节点对所述扫描结果进行处理并反馈至所述客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210558868.4A CN103051620B (zh) | 2012-12-20 | 2012-12-20 | 端口扫描方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210558868.4A CN103051620B (zh) | 2012-12-20 | 2012-12-20 | 端口扫描方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103051620A true CN103051620A (zh) | 2013-04-17 |
CN103051620B CN103051620B (zh) | 2016-03-09 |
Family
ID=48064119
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210558868.4A Active CN103051620B (zh) | 2012-12-20 | 2012-12-20 | 端口扫描方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103051620B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106921680A (zh) * | 2017-05-05 | 2017-07-04 | 腾讯科技(深圳)有限公司 | 一种端口扫描方法及装置 |
CN108259568A (zh) * | 2017-12-22 | 2018-07-06 | 东软集团股份有限公司 | 任务分配方法、装置、计算机可读存储介质及电子设备 |
CN113852475A (zh) * | 2020-06-28 | 2021-12-28 | 京东方科技集团股份有限公司 | 运维方法及系统、主控节点 |
-
2012
- 2012-12-20 CN CN201210558868.4A patent/CN103051620B/zh active Active
Non-Patent Citations (3)
Title |
---|
吕尧: ""基于多核的网络扫描研究与实现"", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
李静: ""分布式网络安全漏洞扫描系统中扫描任务调度的方法"", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
葛志辉: ""基于代理的分布式入侵检测系统的设计与实现"", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106921680A (zh) * | 2017-05-05 | 2017-07-04 | 腾讯科技(深圳)有限公司 | 一种端口扫描方法及装置 |
CN106921680B (zh) * | 2017-05-05 | 2018-07-06 | 腾讯科技(深圳)有限公司 | 一种端口扫描方法及装置 |
CN108259568A (zh) * | 2017-12-22 | 2018-07-06 | 东软集团股份有限公司 | 任务分配方法、装置、计算机可读存储介质及电子设备 |
CN108259568B (zh) * | 2017-12-22 | 2021-05-04 | 东软集团股份有限公司 | 任务分配方法、装置、计算机可读存储介质及电子设备 |
CN113852475A (zh) * | 2020-06-28 | 2021-12-28 | 京东方科技集团股份有限公司 | 运维方法及系统、主控节点 |
Also Published As
Publication number | Publication date |
---|---|
CN103051620B (zh) | 2016-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hu et al. | State estimation under false data injection attacks: Security analysis and system protection | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
US9934379B2 (en) | Methods, systems, and computer readable media for detecting a compromised computing host | |
US11522902B2 (en) | Reliability calculation apparatus, reliability calculation method and program | |
Yang et al. | Multiple attacks detection in cyber-physical systems using random finite set theory | |
CN105046150B (zh) | 防止sql注入的方法及系统 | |
WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
CN109413016B (zh) | 一种基于规则的报文检测方法和装置 | |
Lakhno et al. | Design of adaptive system of detection of cyber-attacks, based on the model of logical procedures and the coverage matrices of features | |
Li et al. | [Retracted] Intelligent Intrusion Detection Method of Industrial Internet of Things Based on CNN‐BiLSTM | |
CN103944887A (zh) | 基于隐条件随机场的入侵事件检测方法 | |
CN103051620B (zh) | 端口扫描方法 | |
CN111447167A (zh) | 车载系统安全防护方法及装置 | |
CN103546449A (zh) | 一种基于附件格式的邮件病毒检测方法和装置 | |
CN111191683B (zh) | 基于随机森林和贝叶斯网络的网络安全态势评估方法 | |
Hua et al. | Fusion and detection for multi-sensor systems under false data injection attacks | |
CN112528281B (zh) | 联邦学习的中毒攻击检测方法、装置及设备 | |
Llansó et al. | CyMRisk: An approach for computing mission risk due to cyber attacks | |
CN103220299B (zh) | 一种云端“协同式”恶意检测引擎识别方法 | |
Wang et al. | Eliminating errors in worm propagation models | |
Zhang et al. | Quantitative risk assessment of cyber physical power system using bayesian based on petri net | |
Wang et al. | A novel model for the internet worm propagation | |
CN115361215A (zh) | 一种基于因果图的网络攻击行为检测方法 | |
CN105915513B (zh) | 云系统中组合服务的恶意服务提供者的查找方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |