CN108900486A - 一种扫描器指纹识别方法及其系统 - Google Patents

一种扫描器指纹识别方法及其系统 Download PDF

Info

Publication number
CN108900486A
CN108900486A CN201810628097.9A CN201810628097A CN108900486A CN 108900486 A CN108900486 A CN 108900486A CN 201810628097 A CN201810628097 A CN 201810628097A CN 108900486 A CN108900486 A CN 108900486A
Authority
CN
China
Prior art keywords
scanner
syn
destination
threshold
fingerprint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810628097.9A
Other languages
English (en)
Other versions
CN108900486B (zh
Inventor
王泉
聂万泉
魏兴国
汪利辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Yevre Technology Co Ltd
Original Assignee
Hangzhou Yevre Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Yevre Technology Co Ltd filed Critical Hangzhou Yevre Technology Co Ltd
Priority to CN201810628097.9A priority Critical patent/CN108900486B/zh
Publication of CN108900486A publication Critical patent/CN108900486A/zh
Application granted granted Critical
Publication of CN108900486B publication Critical patent/CN108900486B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

本发明提供了一种扫描器指纹识别方法及其系统,所述方法包括步骤:获取原始流量;提取通信行为特征;检测攻击行为;判断是否存在攻击行为;如果存在,计算扫描器指纹;根据已有扫描器指纹样本,预测扫描器类型。本发明提供的扫描器指纹识识别方法通过对原始流量进行通信行为特征提取,检测攻击行为,当存在攻击行为时,计算扫描器指纹,最后根据已有扫描器指纹样本预测扫描器类型,该方法能够实现端口扫描器的识别。

Description

一种扫描器指纹识别方法及其系统
技术领域
本发明涉及网络流量分析技术领域,尤其涉及一种扫描器指纹识别方法及其系统。
背景技术
扫描器是一种攻击者常用的信息探测工具。扫描器指纹识别是一种对攻击者进行标记和追踪的方法。当前的扫描器指纹识别方法能对Web扫描器和漏洞扫描器进行指纹识别,这种指纹识别方法通过检测扫描器HTTP请求的Header、请求参数中的特定字段,实现识别扫描器的目的,从而拦截攻击行为或者对攻击者进行标记与追踪。但对于一些端口扫描器,例如Nmap(Network Mapper,是Linux下的网络扫描和嗅探工具包)、Masscan(极速TCP端口扫描器)、Zmap(一款扫描软件,由Durumeric领导密歇根大学研究团队开发)等,它们在扫描过程中一般不发送或很少发送HTTP请求,因此,当前的扫描器指纹识别方法无法有效识别这类端口扫描器。
发明内容
为了克服现有技术的不足,本发明提供了一种扫描器指纹识别方法及其系统,能够实现包括Nmap、Zmap和Masscan等常见端口扫描器在内的扫描器指纹识别,为标记和追踪攻击者提供支持。具体采用的技术方案如下:
一种扫描器指纹识别方法,其特征在于,包括以下步骤:
获取原始流量;
提取通信行为特征;
检测攻击行为;
判断是否存在攻击行为;
如果存在,计算扫描器指纹;
根据已有扫描器指纹样本,预测扫描器类型。
优选的,所述原始流量为TCP通信流量,所述获取原始流量、提取通信行为特征包括以下步骤:
TCP通信流量镜像;
在一个周期内对镜像流量进行组包,筛选出SYN、SYN-ACK、RST和RST-ACK包,解析出毎类包的四元组数据和包的类型作为所述通信行为特征;
所述四元组数据包括源IP、目的IP、源端口、目的端口。
优选的,所述检测攻击行为包括:
针对所述源IP,统计所述一个周期内所述源IP的一级特征,得到特征向量后,根据自适应阈值检测攻击行为;所述攻击行为包括水平扫描、垂直扫描、块扫描或者暴力破解。
优选的,所述一级特征包括SYN包数量,SYN-ACK包数量,目的IP数,每个所述目的IP的平均端口数;
当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时,判断属于疑似扫描行为;进一步的,统计所述源IP访问同一目的IP不同连接端口个数,如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值,则判断为垂直扫描行为;如果所述源IP连接的目的IP数大于第三阈值,则判断为水平扫描行为;如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值且所述源IP连接的目的IP数大于第三阈值,则判断为块扫描行为;
当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时,判断属于疑似暴力破解行为;进一步的,如果探测记录数量大于第四阈值,则判断为暴力破解行为;所述探测记录数量为源IP对一个目的IP的一个目的端口发送的SYN包数量。
优选的,所述特征向量计算方法为,
其中,v表示所述特征向量,s表示所述SYN包数量,a表示所述SYN-ACK包数量,i表示所述目的IP数,p表示每个所述目的IP的平均端口数;
所述第一阈值的计算方式为,t1=max(mean(v),T1),其中,t1表示第一阈值,v表示特征向量,T1为设定阈值;
或者所述第二阈值的计算方式为,t2=max(mean(v),T2),其中,t2表示第二阈值,v表示特征向量,T2为设定阈值;
或者所述第三阈值的计算方式为,t3=max(mean(v),T3),其中,t3表示第三阈值,v表示特征向量,T3为设定阈值;
或者所述第四阈值的计算方式为,t4=max(mean(v),T4),其中,t4表示第四阈值,v表示特征向量,T4为设定阈值。
优选的,所述计算扫描器指纹包括:
对于存在所述攻击行为的源IP,提取出N条对不同目标的扫描记录,遍历所述扫描记录;
从所述每条扫描记录中计算扫描特征,并将所述扫描特征拼接提取所述扫描器指纹;其中N为正整数。
优选的,所述扫描特征包括所述源IP发送给一个目的IP的SYN包数量n1、RST包数量n2、RST-ACK包数量n3,80端口SYN包数量n4,所述目的IP发送给所述源IP的的SYN-ACK包数量n5、RST-ACK包数量n6,SYN包与扫描端口数的比例k;
所述扫描器指纹f=(n1,n2,n3,n4,n5,n6,k)。
优选的,所述扫描器类型包括Nmap、Zmap、Masscan和other;
所述根据已有扫描器指纹样本,预测扫描器类型包括以下步骤:
利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离,选取距离最近的M个扫描器指纹样本;根据所述M个扫描器指纹样本的类型判断扫描器类型;
其中,所述M为正整数。
一种扫描器指纹识别系统,包括:
获取装置,用于获取原始流量;
提取装置,用于提取通信行为特征;
检测装置,用于检测攻击行为;
判断装置,用于判断是否存在攻击行为;
计算装置,用于当存在攻击行为时,计算扫描器指纹;
预测装置,用于根据已有扫描器指纹样本,预测扫描器类型。
优选的,所述获取装置包括镜像单元,用于对TCP原始流量进行镜像;
所述提取装置包括组包单元和解析单元,所述组包单元用于在一个周期内对镜像流量进行组包,筛选出SYN、SYN-ACK、RST和RST-ACK包;所述解析单元用于解析出毎类包的四元组数据和包的类型作为所述通信行为特征;
所述检测装置包括统计单元和第一判断单元,所述统计单元用于统计SYN包数量,SYN-ACK包数量,目的IP数,每个所述目的IP的平均端口数;所述第一判断单元用于所述SYN包数量与所述SYN-ACK包数量的数量差是否大于第一阈值,当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时,判断属于疑似扫描行为;当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时,判断属于疑似暴力破解行为;
所述判断装置包括垂直扫描判断单元、水平扫描判断单元、块扫描判断单元和暴力破解判断单元;
所述垂直扫描判断单元用于判断所述源IP访问同一目的IP的不同连接端口个数是否大于第二阈值,如果是,则判断为垂直扫描行为;
所述水平扫描判断单元用于判断所述源IP连接的目的IP数是否大于第三阈值,如果是,则判断为水平扫描行为;
所述块扫描判断单元用于判断所述源IP访问同一目的IP的不同连接端口个数是否大于第二阈值且所述源IP连接的目的IP数是否大于第三阈值,如果两者都是,都判断为块扫描行为;
所述暴力破解判断单元用于判断探测记录数量是否大于第四阈值,如果是,则判断为暴力破解行为;所述探测记录数量为源IP对一个目的IP的一个目的端口发送的SYN包数量;
所述计算装置包括遍历单元、计算单元和拼接单元;
所述遍历单元用于遍历具有攻击行为的源IP的扫描记录;
所述计算单元用于根据所述扫描记录计算扫描特征;
所述拼接单元用于将所述扫描特征拼接为扫描器指纹;
所述预测装置包括选取单元和类型判断单元;
所述选取单元用于利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离,选取距离小于指定阈值的M个扫描器指纹样本;
所述类型判断单元用于根据所述M个扫描器指纹样本的类型判断扫描器类型;
其中所述M为正整数。
相比现有技术,本发明提供的扫描器指纹识识别方法通过对原始流量进行通信行为特征提取,检测攻击行为,当存在攻击行为时,计算扫描器指纹,最后根据已有扫描器指纹样本预测扫描器类型,无需通过检测扫描器HTTP请求的Header、请求参数中的特定字段,实现识别扫描器的目的,因此,该方法能够有效识别一般不发送或很少发送HTTP请求的端口扫描器。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。本发明的具体实施方式由以下实施例及其附图详细给出。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明一个实施例中的扫描器指纹识别方法流程图;
图2为本发明一个实施例中的扫描器指纹识别系统的结构框图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
如图1所示,本发明提供了一种扫描器指纹识别方法,包括以下步骤:
S1:获取原始流量;
S2:提取通信行为特征;
S3:检测攻击行为;
S4:判断是否存在攻击行为;
S5:如果存在攻击行为,计算扫描器指纹;如果不存在攻击行为,则为正常访问,输出表示正常访问的结果,不进行扫描器指纹识别,也不执行步骤S6。
S6:根据已有扫描器指纹样本,预测扫描器类型。
在一个实施例中,所述原始流量为TCP通信流量,本实施例中,步骤S1获取原始流量包括步骤S11:TCP通信流量镜像;将所述TCP通信流量进行镜像,即把原始流量复制一份到一个特定的网络端口上,对其进行后续步骤的处理和分析。
进一步的,步骤S2提取通信行为特征包括步骤S21、S22。
S21:在一个周期内对镜像流量进行组包,筛选出SYN、SYN-ACK、RST和RST-ACK包;
S22:解析出毎类包的四元组数据和包的类型作为所述通信行为特征;
所述四元组数据包括源IP、目的IP、源端口、目的端口。
具体的,一个周期时间可以为30秒。以30秒作为一个周期,对TCP原始数据流进行组包,筛选出SYN、SYN-ACK、RST、RST-ACK包,解析出每类包的四元组(源IP、目的IP、源端口、目的端口)数据和包的类型作为通信行为特征,步骤S3根据所述通信行为特征进行攻击行为的检测。
进一步的,在上述实施例中,步骤S3检测攻击行为包括步骤S31和S32:
S31:针对所述源IP,统计所述一个周期内所述源IP的一级特征,得到特征向量;
S32:根据自适应阈值检测攻击行为;所述攻击行为包括水平扫描、垂直扫描、块扫描或者暴力破解。本步骤中,可以先对疑似扫描行为和疑似暴力破解行为进行判断,进一步的,再对水平扫描、垂直扫描、块扫描或者暴力破解等具体攻击行为进行判断。
在一个实施例中,所述一级特征包括SYN包数量s,SYN-ACK包数量a,目的IP数i,每个所述目的IP的平均端口数;
当所述SYN包数量s与所述SYN-ACK包数量a的数量差(s-a)大于第一阈值时,判断属于疑似扫描行为;假设第一阈值为20,则表示当源IP发送的SYN包数量s与接收到SYN-ACK包数量a的数量差(s-a)>20时,源IP有可能在执行扫描行为(攻击行为),则对扫描行为类型进行判断。因此,进一步的,统计所述源IP访问同一目的IP不同连接端口个数,如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值,则判断为垂直扫描行为;如果所述源IP连接的目的IP数大于第三阈值,则判断为水平扫描行为;如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值且所述源IP连接的目的IP数大于第三阈值,则判断为块扫描行为;
当所述SYN包数量s与所述SYN-ACK包数量a的数量差(s-a)小于第一阈值时,判断属于疑似暴力破解行为;假设第一阈值为20,则表示当源IP发送的SYN包数量s与接收到SYN-ACK包数量a的数量差(s-a)<20时,源IP有可能在执行暴力破解行为(攻击行为),则对是否在执行暴力破解行为进一步判断。因此,进一步的,如果探测记录数量大于第四阈值,则判断为暴力破解行为;所述探测记录数量为源IP对一个目的IP的一个目的端口发送的SYN包数量。
在本实施例中,步骤S31中的得到特征向量的计算方法可以为,
其中,v表示所述特征向量,s表示所述SYN包数量,a表示所述SYN-ACK包数量,i表示所述目的IP数,p表示每个所述目的IP的平均端口数;
所述第一阈值的计算方式可以为,t1=max(mean(v),T1),其中,t1表示第一阈值,v表示特征向量,T1为设定阈值;同样的,所述第二阈值的计算方式也可以为,t2=max(mean(v),T2),其中,t2表示第二阈值,v表示特征向量,T2为设定阈值;所述第三阈值的计算方式也可以为,t3=max(mean(v),T3),其中,t3表示第三阈值,v表示特征向量,T3为设定阈值;所述第四阈值的计算方式也可以为,t4=max(mean(v),T4),其中,t4表示第四阈值,v表示特征向量,T4为设定阈值。需要说明的是,T1、T2、T3、T4为人为制定的硬阈值,即由工作人员根据具体的网络环境设定的,如若工作人员不去更改,该值不会改变。
在一实施例中,步骤S5中计算扫描器指纹包括:
对于存在攻击行为的源IP,提取出N条对不同目标的扫描记录,遍历所述扫描记录;
从所述每条扫描记录中计算扫描特征,并将所述扫描特征拼接提取所述扫描器指纹;其中N为正整数。加入N为30,则表示对于存在扫描行为的源IP,提取出30条对不同目标的扫描记录(一个源IP对于一个目的IP的一个端口的认为是一条扫描记录),遍历扫描记录,从每条记录中计算扫描特征,将扫描特征拼接提取扫描器指纹f。
具体的,在本实施例中,所述扫描特征包括所述源IP发送给一个目的IP的SYN包数量n1、RST包数量n2、RST-ACK包数量n3,80端口SYN包数量n4,所述目的IP发送给所述源IP的的SYN-ACK包数量n5、RST-ACK包数量n6,SYN包与扫描端口数的比例k;
所述扫描器指纹f=(n1,n2,n3,n4,n5,n6,k)。
在上述实施例中,所述扫描器类型包括Nmap、Zmap、Masscan和other;
步骤S6根据已有扫描器指纹样本,预测扫描器类型包括:
利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离,选取距离最近的M个扫描器指纹样本;根据所述M个扫描器指纹样本的类型判断扫描器类型;其中,所述M为正整数。具体的,在计算得到一次扫描行为的扫描器指纹后,通过与样本库中已存储的扫描器指纹进行对比,计算两两之间的欧式距离,找到样本库中距离小于指定阈值的M个扫描器指纹样本,假设M=5,统计这5个指纹样本中数量最多的对应扫描器类型,即为该次扫描行为的扫描器类型。如果没有找到对应的扫描器类别,则判断该次扫描行为的扫描器类型为other。比如:如果不是Zmap、Zmap、Masscan,则判定为other。其中,所示指定阈值为工作人员根据网络环境设定的一固定值。
关于扫描器指纹和已有扫描器指纹样本的距离可以为欧式距离,对于扫描器指纹f,已知扫描器类别的指纹样本Fi,可根据距离选取距离最近的M个扫描器指纹样本,根据它们的类别投票得出最终执行该次扫描的扫描器类型。
基于上述扫描器指纹识别方法,本发明还提供了一种扫描器指纹识别系统,包括:获取装置11,用于获取原始流量;提取装置12,用于提取通信行为特征;检测装置13,用于检测攻击行为;判断装置14,用于判断是否存在攻击行为;计算装置15,用于当存在攻击行为时,计算扫描器指纹;预测装置16,用于根据已有扫描器指纹样本,预测扫描器类型。
进一步的,如图2所示,所述获取装置11包括镜像单元11,用于对TCP原始流量进行镜像;
所述提取装置12包括组包单元121和解析单元122,所述组包单元121用于在一个周期内对镜像流量进行组包,筛选出SYN、SYN-ACK、RST和RST-ACK包;所述解析单元122用于解析出毎类包的四元组数据和包的类型作为所述通信行为特征;
所述检测装置13包括统计单元131和第一判断单元132,所述统计单元131用于统计SYN包数量,SYN-ACK包数量,目的IP数,每个所述目的IP的平均端口数;所述第一判断单元132用于所述SYN包数量与所述SYN-ACK包数量的数量差是否大于第一阈值,当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时,判断属于疑似扫描行为;当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时,判断属于疑似暴力破解行为;
所述判断装置14包括垂直扫描判断单元141、水平扫描判断单元142、块扫描判断单元143和暴力破解判断单元144;
所述垂直扫描判断单元141用于判断所述源IP访问同一目的IP的不同连接端口个数是否大于第二阈值,如果是,则判断为垂直扫描行为;
所述水平扫描判断单元142用于判断所述源IP连接的目的IP数是否大于第三阈值,如果是,则判断为水平扫描行为;
所述块扫描判断单元143用于判断所述源IP访问同一目的IP的不同连接端口个数是否大于第二阈值且所述源IP连接的目的IP数是否大于第三阈值,如果两者都是,都判断为块扫描行为;
所述暴力破解判断单元144用于判断探测记录数量是否大于第四阈值,如果是,则判断为暴力破解行为;所述探测记录数量为源IP对一个目的IP的一个目的端口发送的SYN包数量;
所述计算装置15包括遍历单元151、计算单元152和拼接单元153;
所述遍历单元151用于遍历具有攻击行为的源IP的扫描记录;
所述计算单元152用于根据所述扫描记录计算扫描特征;
所述拼接单元153用于将所述扫描特征拼接为扫描器指纹;
所述预测装置16包括选取单元161和类型判断单元162;
所述选取单元161用于利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离,选取距离小于指定阈值的M个扫描器指纹样本;其中,所示指定阈值为工作人员根据网络环境设定的一固定值。
所述类型判断单元162用于根据所述M个扫描器指纹样本的类型判断扫描器类型;其中所述M为正整数。
以上,仅为本发明的较佳实施例而已,并非对本发明作任何形式上的限制;凡本行业的普通技术人员均可按说明书附图所示和以上而顺畅地实施本发明;但是,凡熟悉本专业的技术人员在不脱离本发明技术方案范围内,利用以上所揭示的技术内容而做出的些许更动、修饰与演变的等同变化,均为本发明的等效实施例;同时,凡依据本发明的实质技术对以上实施例所作的任何等同变化的更动、修饰与演变等,均仍属于本发明的技术方案的保护范围之内。

Claims (10)

1.一种扫描器指纹识别方法,其特征在于,包括以下步骤:
获取原始流量;
提取通信行为特征;
检测攻击行为;
判断是否存在攻击行为;
如果存在,计算扫描器指纹;
根据已有扫描器指纹样本,预测扫描器类型。
2.如权利要求1所述的扫描器指纹识别方法,其特征在于,所述原始流量为TCP通信流量,所述获取原始流量、提取通信行为特征包括以下步骤:
TCP通信流量镜像;
在一个周期内对镜像流量进行组包,筛选出SYN、SYN-ACK、RST和RST-ACK包,解析出毎类包的四元组数据和包的类型作为所述通信行为特征;
所述四元组数据包括源IP、目的IP、源端口、目的端口。
3.如权利要求2所述的扫描器指纹识别方法,其特征在于,所述检测攻击行为包括:
针对所述源IP,统计所述一个周期内所述源IP的一级特征,得到特征向量后,根据自适应阈值检测攻击行为;所述攻击行为包括水平扫描、垂直扫描、块扫描或者暴力破解。
4.如权利要求3所述的扫描器指纹识别方法,其特征在于,所述一级特征包括SYN包数量,SYN-ACK包数量,目的IP数,每个所述目的IP的平均端口数;
当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时,判断属于疑似扫描行为;进一步的,统计所述源IP访问同一目的IP不同连接端口个数,如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值,则判断为垂直扫描行为;如果所述源IP连接的目的IP数大于第三阈值,则判断为水平扫描行为;如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值且所述源IP连接的目的IP数大于第三阈值,则判断为块扫描行为;
当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时,判断属于疑似暴力破解行为;进一步的,如果探测记录数量大于第四阈值,则判断为暴力破解行为;所述探测记录数量为源IP对一个目的IP的一个目的端口发送的SYN包数量。
5.如权利要求4所述的扫描器指纹识别方法,其特征在于,所述特征向量计算方法为,
其中,v表示所述特征向量,s表示所述SYN包数量,a表示所述SYN-ACK包数量,i表示所述目的IP数,p表示每个所述目的IP的平均端口数;
所述第一阈值的计算方式为,t1=max(mean(v),T1),其中,t1表示第一阈值,v表示特征向量,T1为设定阈值;
或者所述第二阈值的计算方式为,t2=max(mean(v),T2),其中,t2表示第二阈值,v表示特征向量,T2为设定阈值;
或者所述第三阈值的计算方式为,t3=max(mean(v),T3),其中,t3表示第三阈值,v表示特征向量,T3为设定阈值;
或者所述第四阈值的计算方式为,t4=max(mean(v),T4),其中,t4表示第四阈值,v表示特征向量,T4为设定阈值。
6.如权利要求3所述的扫描器指纹识别方法,其特征在于,所述计算扫描器指纹包括:
对于存在所述攻击行为的源IP,提取出N条对不同目标的扫描记录,遍历所述扫描记录;
从所述每条扫描记录中计算扫描特征,并将所述扫描特征拼接提取所述扫描器指纹;其中N为正整数。
7.如权利要求6所述的扫描器指纹识别方法,其特征在于,所述扫描特征包括所述源IP发送给一个目的IP的SYN包数量n1、RST包数量n2、RST-ACK包数量n3,80端口SYN包数量n4,所述目的IP发送给所述源IP的的SYN-ACK包数量n5、RST-ACK包数量n6,SYN包与扫描端口数的比例k;
所述扫描器指纹f=(n1,n2,n3,n4,n5,n6,k)。
8.如权利要求1-7任一项所述的扫描器指纹识别方法,其特征在于,所述扫描器类型包括Nmap、Zmap、Masscan和other;
所述根据已有扫描器指纹样本,预测扫描器类型包括以下步骤:
利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离,选取距离小于指定阈值的M个扫描器指纹样本;根据所述M个扫描器指纹样本的类型判断扫描器类型;
其中,所述M为正整数。
9.一种扫描器指纹识别系统,其特征在于,包括:
获取装置,用于获取原始流量;
提取装置,用于提取通信行为特征;
检测装置,用于检测攻击行为;
判断装置,用于判断是否存在攻击行为;
计算装置,用于当存在攻击行为时,计算扫描器指纹;
预测装置,用于根据已有扫描器指纹样本,预测扫描器类型。
10.如权利要求9所述的扫描器识别系统,其特征在于,
所述获取装置包括镜像单元,用于对TCP原始流量进行镜像;
所述提取装置包括组包单元和解析单元,所述组包单元用于在一个周期内对镜像流量进行组包,筛选出SYN、SYN-ACK、RST和RST-ACK包;所述解析单元用于解析出毎类包的四元组数据和包的类型作为所述通信行为特征;
所述检测装置包括统计单元和第一判断单元,所述统计单元用于统计SYN包数量,SYN-ACK包数量,目的IP数,每个所述目的IP的平均端口数;所述第一判断单元用于所述SYN包数量与所述SYN-ACK包数量的数量差是否大于第一阈值,当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时,判断属于疑似扫描行为;当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时,判断属于疑似暴力破解行为;
所述判断装置包括垂直扫描判断单元、水平扫描判断单元、块扫描判断单元和暴力破解判断单元;
所述垂直扫描判断单元用于判断所述源IP访问同一目的IP的不同连接端口个数是否大于第二阈值,如果是,则判断为垂直扫描行为;
所述水平扫描判断单元用于判断所述源IP连接的目的IP数是否大于第三阈值,如果是,则判断为水平扫描行为;
所述块扫描判断单元用于判断所述源IP访问同一目的IP的不同连接端口个数是否大于第二阈值且所述源IP连接的目的IP数是否大于第三阈值,如果两者都是,都判断为块扫描行为;
所述暴力破解判断单元用于判断探测记录数量是否大于第四阈值,如果是,则判断为暴力破解行为;所述探测记录数量为源IP对一个目的IP的一个目的端口的发送的SYN包数量;
所述计算装置包括遍历单元、计算单元和拼接单元;
所述遍历单元用于遍历具有攻击行为的源IP的扫描记录;
所述计算单元用于根据所述扫描记录计算扫描特征;
所述拼接单元用于将所述扫描特征拼接为扫描器指纹;
所述预测装置包括选取单元和类型判断单元;
所述选取单元用于利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离,选取距离小于指定阈值的M个扫描器指纹样本;
所述类型判断单元用于根据所述M个扫描器指纹样本的类型判断扫描器类型;其中所述M为正整数。
CN201810628097.9A 2018-06-19 2018-06-19 一种扫描器指纹识别方法及其系统 Active CN108900486B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810628097.9A CN108900486B (zh) 2018-06-19 2018-06-19 一种扫描器指纹识别方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810628097.9A CN108900486B (zh) 2018-06-19 2018-06-19 一种扫描器指纹识别方法及其系统

Publications (2)

Publication Number Publication Date
CN108900486A true CN108900486A (zh) 2018-11-27
CN108900486B CN108900486B (zh) 2020-11-27

Family

ID=64344990

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810628097.9A Active CN108900486B (zh) 2018-06-19 2018-06-19 一种扫描器指纹识别方法及其系统

Country Status (1)

Country Link
CN (1) CN108900486B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110740142A (zh) * 2019-11-21 2020-01-31 国家电网有限公司信息通信分公司 一种基于web攻击工器具特征的指纹库建立方法
CN111586005A (zh) * 2020-04-29 2020-08-25 杭州迪普科技股份有限公司 扫描器扫描行为识别方法及装置
CN112187775A (zh) * 2020-09-23 2021-01-05 北京微步在线科技有限公司 一种端口扫描的检测方法及装置
CN112751862A (zh) * 2020-12-30 2021-05-04 杭州迪普科技股份有限公司 一种端口扫描攻击检测方法、装置及电子设备
CN113542310A (zh) * 2021-09-17 2021-10-22 上海观安信息技术股份有限公司 一种网络扫描检测方法、装置及计算机存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001084270A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. Method and system for intrusion detection in a computer network
CN102868685A (zh) * 2012-08-29 2013-01-09 北京神州绿盟信息安全科技股份有限公司 一种判定自动扫描行为的方法及装置
CN104519068A (zh) * 2014-12-26 2015-04-15 赵卫伟 一种基于操作系统指纹跳变的移动目标防护方法
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置
CN106452954A (zh) * 2016-09-30 2017-02-22 苏州迈科网络安全技术股份有限公司 Http数据特征分析方法及系统
CN107547490A (zh) * 2016-06-29 2018-01-05 阿里巴巴集团控股有限公司 一种扫描器识别方法、装置及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001084270A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. Method and system for intrusion detection in a computer network
CN102868685A (zh) * 2012-08-29 2013-01-09 北京神州绿盟信息安全科技股份有限公司 一种判定自动扫描行为的方法及装置
CN104519068A (zh) * 2014-12-26 2015-04-15 赵卫伟 一种基于操作系统指纹跳变的移动目标防护方法
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置
CN107547490A (zh) * 2016-06-29 2018-01-05 阿里巴巴集团控股有限公司 一种扫描器识别方法、装置及系统
CN106452954A (zh) * 2016-09-30 2017-02-22 苏州迈科网络安全技术股份有限公司 Http数据特征分析方法及系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110740142A (zh) * 2019-11-21 2020-01-31 国家电网有限公司信息通信分公司 一种基于web攻击工器具特征的指纹库建立方法
CN110740142B (zh) * 2019-11-21 2021-11-16 国家电网有限公司信息通信分公司 一种基于web攻击工器具特征的指纹库建立方法
CN111586005A (zh) * 2020-04-29 2020-08-25 杭州迪普科技股份有限公司 扫描器扫描行为识别方法及装置
CN111586005B (zh) * 2020-04-29 2022-12-27 杭州迪普科技股份有限公司 扫描器扫描行为识别方法及装置
CN112187775A (zh) * 2020-09-23 2021-01-05 北京微步在线科技有限公司 一种端口扫描的检测方法及装置
CN112187775B (zh) * 2020-09-23 2021-09-03 北京微步在线科技有限公司 一种端口扫描的检测方法及装置
CN112751862A (zh) * 2020-12-30 2021-05-04 杭州迪普科技股份有限公司 一种端口扫描攻击检测方法、装置及电子设备
CN113542310A (zh) * 2021-09-17 2021-10-22 上海观安信息技术股份有限公司 一种网络扫描检测方法、装置及计算机存储介质

Also Published As

Publication number Publication date
CN108900486B (zh) 2020-11-27

Similar Documents

Publication Publication Date Title
CN108900486A (zh) 一种扫描器指纹识别方法及其系统
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
US8797901B2 (en) Method and its devices of network TCP traffic online identification using features in the head of the data flow
Oshima et al. Early DoS/DDoS detection method using short-term statistics
US8001583B2 (en) Network failure detection method and network failure detection system
CN104618377B (zh) 基于NetFlow的僵尸网络检测系统与检测方法
Shamsolmoali et al. Statistical-based filtering system against DDOS attacks in cloud computing
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN107360118B (zh) 一种高级持续威胁攻击防护方法及装置
CN107566192B (zh) 一种异常流量处理方法及网管设备
CN108965248A (zh) 一种基于流量分析的p2p僵尸网络检测系统及方法
CN111200600B (zh) 一种物联网设备流量序列指纹特征提取方法
CN110475246B (zh) 基于孤立森林和序贯概率比检验的恶意锚节点检测方法
CN106357660A (zh) 一种ddos防御系统中检测伪造源ip的方法和装置
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及系统
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
CN106899978A (zh) 一种无线网络攻击定位方法
CN104021348A (zh) 一种隐匿p2p程序实时检测方法及系统
RU2472211C1 (ru) Способ защиты информационно-вычислительных сетей от компьютерных атак
CN102437936A (zh) 基于双过滤机制的高速网络僵尸报文的检测方法
CN111181969B (zh) 一种基于自发流量的物联网设备识别方法
CN105516164B (zh) 基于分形与自适应融合的P2P botnet检测方法
CN113726809B (zh) 基于流量数据的物联网设备识别方法
CN112953956B (zh) 一种基于主被动结合的反射放大器识别方法
Mazel et al. Identifying Coordination of Network Scans Using Probed Address Structure.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310000 10 / F, Block E, building 1, 1378 Wenyi West Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province

Applicant after: HANGZHOU MOAN TECHNOLOGY CO.,LTD.

Address before: 310000 Room 301, 2 Units, 1 Guashan Jiayuan Building, Gongshu District, Hangzhou City, Zhejiang Province

Applicant before: HANGZHOU MOAN TECHNOLOGY CO.,LTD.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: 1st Floor, Building 3, No. 2616, Yuhangtang Road, Cangqian Street, Yuhang District, Hangzhou City, Zhejiang Province, 311100

Patentee after: HANGZHOU MOAN TECHNOLOGY CO.,LTD.

Address before: 311100 10th floor, Block E, building 1, 1378 Wenyi West Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province

Patentee before: HANGZHOU MOAN TECHNOLOGY CO.,LTD.

CP02 Change in the address of a patent holder