CN107864128B - 基于网络行为的扫描检测方法、装置、可读存储介质 - Google Patents

基于网络行为的扫描检测方法、装置、可读存储介质 Download PDF

Info

Publication number
CN107864128B
CN107864128B CN201711041651.5A CN201711041651A CN107864128B CN 107864128 B CN107864128 B CN 107864128B CN 201711041651 A CN201711041651 A CN 201711041651A CN 107864128 B CN107864128 B CN 107864128B
Authority
CN
China
Prior art keywords
scanning
connection
target
network data
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711041651.5A
Other languages
English (en)
Other versions
CN107864128A (zh
Inventor
刘伯仲
邓永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201711041651.5A priority Critical patent/CN107864128B/zh
Publication of CN107864128A publication Critical patent/CN107864128A/zh
Application granted granted Critical
Publication of CN107864128B publication Critical patent/CN107864128B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于网络行为的扫描检测方法,通过从网络数据中筛选目标扫描连接,再从目标扫描连接中提取与目标扫描连接对应的扫描特征,利用扫描特征和分类器检测目标扫描连接中存在的扫描行为。因此,在进行扫描行为检测之前先将网络数据中的正常上网数据过滤掉,从而避免了正常的上网数据对检测扫描行为的影响,降低了扫描检测的误报率;同时,通过输入已有的扫描数据和正常数据训练分类器,能够将正常和异常的行为进行准确区分,因此通过训练的分类器对具体的网络环境进行扫描检测时,扫描检测的误报率较小。本发明还公开了一种基于网络行为的扫描检测装置及计算机可读存储介质,同样能实现上述技术效果。

Description

基于网络行为的扫描检测方法、装置、可读存储介质
技术领域
本发明涉及网络安全领域,特别涉及基于网络行为的扫描检测方法、装置、可读存储介质。
背景技术
随着计算机网络的发展,数据信息的安全性越来越重要。其中,为了防止其他恶意病毒攻击计算机网络,不少用户都启用了防火墙技术;当内网主机或服务器攻陷之后,攻陷方为了扩散更多的主机,通常需要扫描内网或者外网以发现更多的攻击目标,进而扩散攻击范围;因此,为了防止攻陷方扫描内网扩散攻击范围,通常需要检测攻陷方的扫描内网行为,从而杜绝攻陷方扩散攻击范围。
现有技术中,虽然已经有成型的扫描检测产品,但是其方案都是基于人工设定的阈值进行对整个网络的数据进行扫描检测,但是现实的网络环境都比较复杂,通过人工设定的阈值和对整个网络数据进行检测会导致扫描检测的大量误报,增加运维人员负担。另一方面,现有的扫描检测产品都默认扫描都是快速进行的,无法应对慢速扫描的情况。
因此,如何解决扫描检测中的大量误报问题是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供基于网络行为的扫描检测方法、装置、可读存储介质,解决了扫描检测中的大量误报的问题,降低了扫描检测的误报率。
为实现上述目的,本发明实施例提供了如下技术方案:
一方面,本发明实施例提供了一种基于网络行为的扫描检测方法,包括:获取网络数据;以预定义规则从所述网络数据中确定目标扫描连接;从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征;利用所述扫描特征和训练的分类器检测所述目标扫描连接对应的扫描行为,所述训练的分类器通过学习已有的扫描数据和正常数据得到。
优选地,所述获取网络数据包括:获取三层网络和/或四层网络的网络数据。
优选地,所述以预定义规则从所述网络数据中确定目标扫描连接包括:从所述网络数据中确定ICMP连接和/或TCP连接;将所述ICMP连接和/或所述TCP连接作为目标扫描连接。
优选地,所述从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征包括:从所述目标扫描连接中提取所述目标扫描连接的访问对象的数量、扫描端口接收到的不同IP地址的数量以及扫描端口出现无响应连接的次数。
优选地,所述获取网络数据包括:以预定时间周期获取网络数据。
优选地,若利用所述扫描特征和训练的分类器未检测出所述目标扫描连接对应的扫描行为,则所述方法还包括:获取下一个预定时间周期的预定网络数据;以预定义规则从所述预定网络数据中确定预定目标扫描连接;从所述预定目标扫描连接中提取与所述预定目标扫描连接对应的预定扫描特征;将所述扫描特征和所述预定扫描特征进行叠加得到目标扫描特征;利用所述目标扫描特征和训练的分类器检测所述预定网络数据中的扫描行为。
优选地,若利用所述扫描特征和训练的分类器检测出所述目标扫描连接对应的扫描行为之后,还包括:根据所述目标扫描连接确定所述扫描行为的扫描类型;将所述扫描类型进行存储。
另一方面,本发明实施例提供了一种基于网络行为的扫描检测装置,包括:
网络数据模块,用于获取网络数据;
目标扫描连接确定模块,用于以预定义规则从所述网络数据中确定目标扫描连接;
扫描特征提取模块,用于从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征;
扫描行为检测模块,用于利用所述扫描特征和训练的分类器检测所述目标扫描连接对应的扫描行为,所述训练的分类器通过学习已有的扫描数据和正常数据得到。
另一方面,本发明实施例提供了一种基于网络行为的扫描检测装置,包括:存储器,用于存储计算机程序;处理器,用于执行所述存储器中存储的计算机程序以实现如上所述的任一项基于网络行为的扫描检测方法的步骤。
另一方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一项基于网络行为的扫描检测方法的步骤。
可见,在本方案中,通过从网络数据中筛选目标扫描连接,再从目标扫描连接中提取与目标扫描连接对应的扫描特征,利用扫描特征和分类器检测目标扫描连接中存在的扫描行为。因此,在进行扫描行为检测之前先将网络数据中的正常上网数据过滤掉,从而避免了正常的上网数据对检测扫描行为的影响,降低了扫描检测的误报率;同时,通过输入已有的扫描数据和正常数据训练分类器,能够将正常和异常的行为进行准确区分,因此通过训练的分类器对具体的网络环境进行扫描检测时,扫描检测的误报率较小。本发明还公开了一种基于网络行为的扫描检测装置及计算机可读存储介质,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种基于网络行为的扫描检测方法流程示意图;
图2为本发明实施例公开的一种基于网络行为的扫描检测装置示意图;
图3为本发明实施例公开的另一种基于网络行为的扫描检测装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于网络行为的扫描检测方法、装置、可读存储介质,解决了扫描检测中的大量误报的问题,降低了扫描检测的误报率。
请参见图1,图1为本发明实施例提供的一种基于网络行为的扫描检测方法流程示意图,包括:
S101、获取网络数据;
具体的,本发明实施例中的网络数据为主机或服务器所在网络层的数据,其包括用户正常的上网数据、正常业务流量数据等以及扫描数据。如OSI七层模型的网络数据,当然,根据不同的网络环境,可获取相对应的网络数据,在此并不作限定。
S102、以预定义规则从所述网络数据中确定目标扫描连接;
具体的,本实施例中的预定义规则可以为管理员预先设定的,例如设置网络数据中目标扫描连接的参数、特征等,当然也可以为其他定义规则,在此并不作限定。其中,确定网络数据中的目标扫描连接的原因是:若单独分析扫描时发出的扫描连接非常容易辨认,但是当扫描连接置于大量的正常背景网络数据中,扫描行为难以被发现,因此需要根据启发式的方法过滤出可能的扫描连接再作进一步的判断。其中,目标扫描连接包括ICMP连接、TCP连接,关于ICMP连接、TCP连接将在下文进行详细介绍。
S103、从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征;
具体的,本实施例中的扫描特征为目标扫描连接中的访问对象的数量、扫描端口接收到的不同IP地址的数量以及扫描端口出现无响应连接的次数,关于标扫描连接中的访问对象的数量、扫描端口接收到的不同IP地址的数量以及扫描端口出现无响应连接的次数的扫描特征将在下文进行详细介绍;当然,根据实际的网络环境,扫描特征也可以为其他特征,例如,扫描到的端口的访问频率,扫描未存活的主机等,在此并不作限定。
S104、利用所述扫描特征和训练的分类器检测所述目标扫描连接对应的扫描行为,所述训练的分类器通过学习已有的扫描数据和正常数据得到。
具体的,本实施例中的分类器通过学习已有的扫描数据和正常数据得到训练后的分类器,其中正常数据为正常网络数据中获取的相关流量数据,扫描数据为通过扫描工具将所有的扫描行为扫描后抓取相关的扫描流量数据。分类器通过对正常数据和扫描数据的学习,具有了识别扫描行为的功能,因此将网络数据中的扫描特征输入至训练后的分类器后,分类器便能够预测网络数据中存在的扫描行为。
可见,在本实施例中,通过从网络数据中筛选目标扫描连接,再从目标扫描连接中提取与目标扫描连接对应的扫描特征,利用扫描特征和分类器检测目标扫描连接中存在的扫描行为。因此,在进行扫描行为检测之前先将网络数据中的正常上网数据过滤掉,从而避免了正常的上网数据对检测扫描行为的影响,降低了扫描检测的误报率;同时,通过输入已有的扫描数据和正常数据训练分类器,能够将正常和异常的行为进行准确区分,因此通过训练的分类器对具体的网络环境进行扫描检测时,扫描检测的误报率较小。
基于上述扫描检测方法实施例,本实施例中所述获取网络数据包括:获取三层网络和/或四层网络的网络数据。
具体的,本实施例中的三层网络数据和四层网络数据为OSI七层模型的第三层和第四层的数据,当然,根据实际的网络环境可以获取其他网络的数据,在此并不作限定。可见,本实施例中,通过选定OSI七层模型中的第三层和第四层的网络数据,第三层和第四层的网络数据包含大多的扫描连接,因此,从第三层和第四层网络数据中能够快速的检测到该网络数据中的扫描行为,检测效率高。
基于上述任意一项扫描检测方法实施例,本实施例中,所述以预定义规则从所述网络数据中确定目标扫描连接包括:从所述网络数据中确定ICMP连接和/或TCP连接;将所述ICMP连接和/或所述TCP连接作为目标扫描连接。
具体的,本实施例中,ICMP连接为进行ICMP扫描发出的,其传输的包数较少或者没有回包;其中,ICMP连接即为较大可能的扫描连接;TCP连接为进行TCP扫描发出的,TCP扫描在扫描不同的端口时,TCP连接会存在如下三种状态,第一,若端口不开放,会出现RST包或者没有回包,连接状态为SYN或者SYN/RST;第二,若端口开放时,TCP扫描发出SYN,对端则会回应ACK,扫描端无任何回包;第三,当主机开放的端口数目有限时,会出现大量SYN状态或SYN/RST状态;因此根据扫描特点,将ICMP连接、SYN连接、SYN/RST连接、SYN/ACK连接作为目标扫描连接。
可见,本实施例中,通过从网络数据中确定目标扫描连接,避免了扫描行为存在于大量的正常上网行为的网络数据中难以被发现的问题,大大降低了扫描检测的误报率。
基于上述任意一项扫描检测方法实施例,在本实施例中,所述从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征包括:从所述目标扫描连接中提取所述目标扫描连接的访问对象的数量、扫描端口接收到的不同IP地址的数量以及扫描端口出现无响应连接的次数。
具体的,本实施例中的访问对象的数量为扫描时访问整个网络中主机、数据等的数量,扫描端口接收到的不同IP地址为同一个扫描端口接收到的不同IP地址的数量;扫描端口出现无响应连接的次数为扫描端口接收到访问请求后对该请求未进行响应的次数。
可见,本实施例中,从目标扫描连接中提取相关的扫描特征,直接得到与扫描行为相关的信息,为检测扫描行为奠定了基础。
基于上述任意一项扫描检测方法实施例,在本实施例中,所述获取网络数据包括:以预定时间周期获取网络数据。
具体的,本实施例中的预定时间周期为管理员优先设置的,例如,每隔60分钟获取一次数据,当然,预定时间周期可以根据实际的网络环境需求进行设定,在此并不作限定。
基于上述任意一项扫描检测方法实施例,在本实施例中,若利用所述扫描特征和训练的分类器未检测出所述目标扫描连接对应的扫描行为,则所述方法还包括:
获取下一个预定时间周期的预定网络数据;
具体的,本实施例中的预定网络数据为预定时间周期后获取的网络数据。
以预定义规则从所述预定网络数据中确定预定目标扫描连接;
具体的,本实施例中的预定义规则与前文保持一致,预定目标扫描连接与前文的目标扫描连接保持一致,在此不再详细赘述。
从所述预定目标扫描连接中提取与所述预定目标扫描连接对应的预定扫描特征;
具体的,本实施例中的预定扫描特征类型与前文的扫描特征类型保持一致,在此不再详细赘述。
将所述扫描特征和所述预定扫描特征进行叠加得到目标扫描特征;
具体的,本实施例中的扫描特征为将扫描特征和预定扫描特征叠加后得到的,例如,扫描特征中的扫描端口接收到的不同IP地址的数量为1000,预定扫描特征中的扫描端口接收到的不同IP地址数量为2000,则目标扫描特征的扫描端口的不同IP地址的数量为3000。当然,对于其他类型的扫描特征,该方法依旧适用,在此并不作限定。
利用所述目标扫描特征和训练的分类器检测所述预定网络数据中的扫描行为。
具体的,本实施例中的训练的分类器与上文保持一致,在此不再详细赘述。
可见,本实施例中,当未检测到网络数据中存在扫描行为时,通过预定时间周期后,重新进行检测;在进行扫描行为检测之前先将网络数据中的正常上网数据过滤掉,从而避免了正常的上网数据对检测扫描行为的影响,降低了扫描检测的误报率;同时,通过输入已有的扫描数据和正常数据训练分类器,能够将正常和异常的行为进行准确区分,因此通过训练的分类器对具体的网络环境进行扫描检测时,扫描检测的误报率较小。同时,通过预定时间周期对网络数据中的扫描行为进行检测时,每一个检测周期的特征都会被叠加,对于检测慢速扫描行为非常有效。
基于上述任意一项扫描检测方法实施例,在本实施例中,若利用所述扫描特征和训练的分类器检测出所述目标扫描连接对应的扫描行为之后,还包括:根据所述目标扫描连接确定所述扫描行为的扫描类型;将所述扫描类型进行存储。
具体的,本实施例中的扫描类型包括ICMP扫描、TCP扫描、SYN扫描、NULL扫描、FIN扫描、ACK扫描等,根据扫描行为对应的目标扫描连接的信息,判断扫描行为所属的扫描类型。例如,扫描行为对应的扫描连接为TCP连接,则该扫描行为的扫描类型即为TCP扫描。还可以根据扫描行为的扫描端口的分散程度,判定其属于目标端口扫描还是广撒网式端口扫描。同时,也可以根据扫描端口接收到的IP地址网段判定扫描目标。
需要说明的是,在检测出扫描行为之后,还可以针对该扫描行为进行其他的操作,在此并不作限定。
请参见图2,图2为本发明实施例提供的一种基于网络行为的扫描检测装置示意图,包括:
网络数据获取模块100,用于获取网络数据;
目标扫描连接确定模块200,用于以预定义规则从所述网络数据中确定目标扫描连接;
扫描特征提取模块300,用于从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征;
扫描行为检测模块400,用于利用所述扫描特征和训练的分类器检测所述目标扫描连接对应的扫描行为,所述训练的分类器通过学习已有的扫描数据和正常数据得到。
可见,在本实施例中,通过从网络数据获取模块100获取的网络数据中筛选目标扫描连接,扫描特征提取模块300从目标扫描连接中提取与目标扫描连接确定模块200中的目标扫描连接对应的扫描特征,扫描行为检测模块400利用扫描特征和分类器检测目标扫描连接中存在的扫描行为。因此,在进行扫描行为检测之前先将网络数据中的正常上网数据过滤掉,从而避免了正常的上网数据对检测扫描行为的影响,降低了扫描检测的误报率;同时,通过输入已有的扫描数据和正常数据训练分类器,能够将正常和异常的行为进行准确区分,因此通过训练的分类器对具体的网络环境进行扫描检测时,扫描检测的误报率较小。
基于上述描检测装置实施例,在本实施例中,网络数据获取模块100包括:
第一网络数据获取单元,用于获取三层网络和/或四层网络的网络数据。
基于上述任意一项扫描检测装置实施例,在本实施例中,目标扫描连接确定模块200包括:
目标扫描连接确定单元,用于从所述网络数据中确定ICMP连接和/或TCP连接;将所述ICMP连接和/或所述TCP连接作为目标扫描连接。
基于上述任意一项扫描检测装置实施例,在本实施例中,扫描特征提取模块300包括:
扫描特征提取单元,用于从所述目标扫描连接中提取所述目标扫描连接的访问对象的数量、扫描端口接收到的不同IP地址的数量以及扫描端口出现无响应连接的次数。
基于上述任意一项扫描检测装置实施例,在本实施例中,网络数据获取模块100包括:
第二网络数据获取单元,用于以预定时间周期获取网络数据。
基于上述任意一项扫描检测装置实施例,在本实施例中,还包括:
预定网络数据获取模块,用于获取下一个预定时间周期的预定网络数据;
预定目标扫描连接确定模块,用于以预定义规则从所述预定网络数据中确定预定目标扫描连接;
预定扫描特征提取模块,用于从所述预定目标扫描连接中提取与所述预定目标扫描连接对应的预定扫描特征;
目标扫描特征叠加模块,用于将所述扫描特征和所述预定扫描特征进行叠加得到目标扫描特征;
预定扫描行为检测模块,用于利用所述目标扫描特征和训练的分类器检测所述预定网络数据中的扫描行为。
基于上述任意一项扫描检测装置实施例,在本实施例中,还包括:
扫描类型确定模块,用于根据所述目标扫描连接确定所述扫描行为的扫描类型;
扫描类型存储模块,用于将所述扫描类型进行存储。
请参见图3,图3为本发明实施例提供的另一种基于网络行为的扫描检测装置示意图,包括:
存储器10,用于存储计算机程序;
处理器20,用于执行所述存储器中存储的计算机程序以实现以上所述的任一项基于网络行为的扫描检测方法的步骤。
为了更好地理解本方案,本发明实施例提供的一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如上任一项所述的基于网络行为的扫描检测方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种基于网络行为的扫描检测方法,其特征在于,包括:
以预定时间周期获取网络数据;
以预定义规则从所述网络数据中确定目标扫描连接;
从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征;
利用所述扫描特征和训练的分类器检测所述目标扫描连接对应的扫描行为,所述训练的分类器通过学习已有的扫描数据和正常数据得到;
若利用所述扫描特征和训练的分类器未检测出所述目标扫描连接对应的扫描行为,则所述方法还包括:
获取下一个预定时间周期的预定网络数据;以预定义规则从所述预定网络数据中确定预定目标扫描连接;从所述预定目标扫描连接中提取与所述预定目标扫描连接对应的预定扫描特征;将所述扫描特征和所述预定扫描特征进行叠加得到目标扫描特征;利用所述目标扫描特征和训练的分类器检测所述预定网络数据中的扫描行为。
2.根据权利要求1所述的基于网络行为的扫描检测方法,其特征在于,所述获取网络数据包括:
获取三层网络和/或四层网络的网络数据。
3.根据权利要求1所述的基于网络行为的扫描检测方法,其特征在于,所述以预定义规则从所述网络数据中确定目标扫描连接包括:
从所述网络数据中确定ICMP连接和/或TCP连接;
将所述ICMP连接和/或所述TCP连接作为目标扫描连接。
4.根据权利要求1所述的基于网络行为的扫描检测方法,其特征在于,所述从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征包括:
从所述目标扫描连接中提取所述目标扫描连接的访问对象的数量、扫描端口接收到的不同IP地址的数量以及扫描端口出现无响应连接的次数。
5.根据权利要求1所述的基于网络行为的扫描检测方法,其特征在于,若利用所述扫描特征和训练的分类器检测出所述目标扫描连接对应的扫描行为之后,还包括:
根据所述目标扫描连接确定所述扫描行为的扫描类型;
将所述扫描类型进行存储。
6.一种基于网络行为的扫描检测装置,其特征在于,包括:
网络数据获取模块,用于获取网络数据;
目标扫描连接确定模块,用于以预定义规则从所述网络数据中确定目标扫描连接;
扫描特征提取模块,用于从所述目标扫描连接中提取与所述目标扫描连接对应的扫描特征;
扫描行为检测模块,用于利用所述扫描特征和训练的分类器检测所述目标扫描连接对应的扫描行为,所述训练的分类器通过学习已有的扫描数据和正常数据得到;
其中,网络数据获取模块包括:
第二网络数据获取单元,用于以预定时间周期获取网络数据;
所述扫描检测装置还包括:
预定网络数据获取模块,用于若利用所述扫描特征和训练的分类器未检测出所述目标扫描连接对应的扫描行为,获取下一个预定时间周期的预定网络数据;
预定目标扫描连接确定模块,用于以预定义规则从所述预定网络数据中确定预定目标扫描连接;
预定扫描特征提取模块,用于从所述预定目标扫描连接中提取与所述预定目标扫描连接对应的预定扫描特征;
目标扫描特征叠加模块,用于将所述扫描特征和所述预定扫描特征进行叠加得到目标扫描特征;
预定扫描行为检测模块,用于利用所述目标扫描特征和训练的分类器检测所述预定网络数据中的扫描行为。
7.一种基于网络行为的扫描检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序以实现如权利要求1至5任一项所述基于网络行为的扫描检测方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的基于网络行为的扫描检测方法的步骤。
CN201711041651.5A 2017-10-30 2017-10-30 基于网络行为的扫描检测方法、装置、可读存储介质 Active CN107864128B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711041651.5A CN107864128B (zh) 2017-10-30 2017-10-30 基于网络行为的扫描检测方法、装置、可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711041651.5A CN107864128B (zh) 2017-10-30 2017-10-30 基于网络行为的扫描检测方法、装置、可读存储介质

Publications (2)

Publication Number Publication Date
CN107864128A CN107864128A (zh) 2018-03-30
CN107864128B true CN107864128B (zh) 2020-11-13

Family

ID=61697600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711041651.5A Active CN107864128B (zh) 2017-10-30 2017-10-30 基于网络行为的扫描检测方法、装置、可读存储介质

Country Status (1)

Country Link
CN (1) CN107864128B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109309679B (zh) * 2018-09-30 2020-10-20 国网湖南省电力有限公司 一种基于tcp流状态的网络扫描检测方法及检测系统
CN109547423B (zh) * 2018-11-09 2021-03-30 上海交通大学 一种基于机器学习的web恶意请求深度检测系统及方法
CN110247904A (zh) * 2019-06-04 2019-09-17 菜鸟智能物流控股有限公司 一种扫描方法和装置
CN111447201A (zh) * 2020-03-24 2020-07-24 深信服科技股份有限公司 一种扫描行为识别方法、装置及电子设备和存储介质
CN114462589B (zh) * 2021-09-28 2022-11-04 北京卫达信息技术有限公司 正常行为神经网络模型训练方法、系统、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567812A (zh) * 2009-03-13 2009-10-28 华为技术有限公司 对网络攻击进行检测的方法和装置
CN101605134A (zh) * 2009-06-30 2009-12-16 成都市华为赛门铁克科技有限公司 网络安全扫描方法、装置及系统
CN101707539A (zh) * 2009-11-26 2010-05-12 成都市华为赛门铁克科技有限公司 蠕虫病毒检测方法、装置和网关设备
CN102594620A (zh) * 2012-02-20 2012-07-18 南京邮电大学 一种基于行为描述的可联动分布式网络入侵检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567812A (zh) * 2009-03-13 2009-10-28 华为技术有限公司 对网络攻击进行检测的方法和装置
CN101605134A (zh) * 2009-06-30 2009-12-16 成都市华为赛门铁克科技有限公司 网络安全扫描方法、装置及系统
CN101707539A (zh) * 2009-11-26 2010-05-12 成都市华为赛门铁克科技有限公司 蠕虫病毒检测方法、装置和网关设备
CN102594620A (zh) * 2012-02-20 2012-07-18 南京邮电大学 一种基于行为描述的可联动分布式网络入侵检测方法

Also Published As

Publication number Publication date
CN107864128A (zh) 2018-03-30

Similar Documents

Publication Publication Date Title
CN107864128B (zh) 基于网络行为的扫描检测方法、装置、可读存储介质
CN107659583B (zh) 一种检测事中攻击的方法及系统
CN109474575B (zh) 一种dns隧道的检测方法及装置
CN110830470B (zh) 一种失陷主机检测方法、装置、设备及可读存储介质
US9350758B1 (en) Distributed denial of service (DDoS) honeypots
CN103746885A (zh) 一种面向下一代防火墙的测试系统和测试方法
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
CN110768999B (zh) 一种设备非法外联的检测方法及装置
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN106992955A (zh) Apt防火墙
US9479521B2 (en) Software network behavior analysis and identification system
CN109587156A (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
CN110798427A (zh) 一种网络安全防御中的异常检测方法、装置及设备
CN113079185B (zh) 实现深度数据包检测控制的工业防火墙控制方法及设备
CN109218294A (zh) 基于机器学习贝叶斯算法的防扫描方法、装置和服务器
CN113132316A (zh) 一种Web攻击检测方法、装置、电子设备及存储介质
CN104348808A (zh) 会话处理的方法和装置
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
WO2020103154A1 (en) Method, apparatus and system for data analysis
CN107517226B (zh) 基于无线网络入侵的报警方法及装置
CN109274638A (zh) 一种攻击源接入自动识别处理的方法和路由器
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
CN112073426A (zh) 一种云防护环境下网站扫描检测方法、系统及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant