CN110266668B - 一种端口扫描行为的检测方法及装置 - Google Patents
一种端口扫描行为的检测方法及装置 Download PDFInfo
- Publication number
- CN110266668B CN110266668B CN201910491327.6A CN201910491327A CN110266668B CN 110266668 B CN110266668 B CN 110266668B CN 201910491327 A CN201910491327 A CN 201910491327A CN 110266668 B CN110266668 B CN 110266668B
- Authority
- CN
- China
- Prior art keywords
- port
- message
- preset
- information
- ports
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Abstract
本发明实施例提供了一种端口扫描行为的检测方法及装置,获取预设时段内统计的数据报文信息,统计数据报文信息的五元组信息中目的端口为目标设备的第一端口的第一数量,并在判定第一数量超过第一预设数量阈值时,获取数据流量信息中目的端口为第一端口的第一报文信息,并在第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计第二报文信息中目的端口的第二数量,计算第二数量占第一数量的第一比例,若第一比例超过第一预设比例阈值,则确定存在针对目标设备的端口扫描行为。通过本方案,提高了端口扫描行为的检测精度。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种端口扫描行为的检测方法及装置。
背景技术
端口扫描行为是指攻击者向目标设备发送端口扫描报文,试图以此入侵目标设备,获取目标设备的各种有用信息的网络行为。对端口扫描行为进行检测,已成为预防攻击者入侵的一个重要手段。
在发生端口扫描行为时,攻击者会在一段时间内多次访问目标设备。基于此,传统的端口扫描行为的检测方法中,网络安全设备对数据流量进行统计分析,判断目的端口为目标设备端口的端口数量是否超过一定阈值,若超过,则认为针对目标设备,发生了端口扫描行为,有攻击者正在扫描目标设备的端口。
然而,在例如利用FTP(File Transfer Protocol,文件传输协议)等技术在网络上进行文件传输时,使用的端口是随机产生的动态端口,此时很有可能出现大量不同端口被同时使用的情况,基于上述检测方法,会将正常的访问行为识别为端口扫描行为,端口扫描行为的检测精度较差。
发明内容
本发明实施例的目的在于提供一种端口扫描行为的检测方法及装置,以提高端口扫描行为的检测精度。具体技术方案如下:
第一方面,本发明实施例提供了一种端口扫描行为的检测方法,所述方法包括:
获取预设时段内统计的数据报文信息,所述数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;
统计所述五元组信息中目的端口为目标设备的第一端口的第一数量,并判断所述第一数量是否超过第一预设数量阈值;
若所述第一数量超过所述第一预设数量阈值,则获取所述数据报文信息中目的端口为所述第一端口的第一报文信息,并在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
计算所述第二数量占所述第一数量的第一比例,并判断所述第一比例是否超过第一预设比例阈值;
若所述第一比例超过所述第一预设比例阈值,则确定存在针对所述目标设备的端口扫描行为。
第二方面,本发明实施例提供了一种端口扫描行为的检测装置,所述装置包括:
获取模块,用于获取预设时段内统计的数据报文信息,所述数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;
统计模块,用于统计所述五元组信息中目的端口为目标设备的第一端口的第一数量,并判断所述第一数量是否超过第一预设数量阈值;若所述第一数量超过所述第一预设数量阈值,则获取所述数据报文信息中目的端口为所述第一端口的第一报文信息,并在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
所述判断模块,还用于计算所述第二数量占所述第一数量的第一比例,并判断所述第一比例是否超过第一预设比例阈值;
确定模块,用于若所述第一比例超过所述第一预设比例阈值,则确定存在针对所述目标设备的端口扫描行为。
第三方面,本发明实施例提供了一种网络安全设备,包括处理器和机器可读存储介质,其中,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令由所述处理器加载并执行,以实现本发明实施例第一方面所提供的方法步骤。
第四方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现本发明实施例第一方面所提供的方法步骤。
本发明实施例提供的一种端口扫描行为的检测方法及装置,获取预设时段内统计的数据报文信息,数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,统计五元组信息中目的端口为目标设备的第一端口的第一数量,目的端口为目标设备的第一端口的第一数量超过第一预设数量阈值时,说明目标设备中的大量端口被使用,而在正常的访问过程中,第一端口接收到业务请求报文,一般情况下是会返回业务响应报文的,如果是端口扫描行为,目标设备的端口接收到业务请求报文,是不会返回业务响应报文或者只返回很少的业务响应报文。因此,在第一数量超过第一预设数量阈值的判定基础上,进一步对第二数量进行统计,如果第二数量占第一数量的第一比例很大(超过第一预设比例阈值),则说明接收到业务请求报文但未返回业务响应报文或者只返回很少的业务响应报文的端口占比很大,可以断定此时存在针对目标设备的端口扫描行为,提高了端口扫描行为的检测精度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的端口扫描行为的检测方法的流程示意图;
图2为本发明另一实施例的端口扫描行为的检测方法的流程示意图;
图3为本发明实施例的端口扫描行为的检测装置的结构示意图;
图4为本发明实施例的网络安全设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高端口扫描行为的检测精度,本发明实施例提供了一种端口扫描行为的检测方法、装置、网络安全设备及机器可读存储介质。下面,首先对本发明实施例所提供的端口扫描行为的检测方法进行介绍。
本发明实施例所提供的端口扫描行为的检测方法的执行主体为网络安全设备,该网络安全设备可以为防火墙设备、路由设备、交换机等。
如图1所示,本发明实施例所提供的一种端口扫描行为的检测方法,可以包括如下步骤。
S101,获取预设时段内统计的数据报文信息,其中,数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据。
数据报文信息是依据终端与网络设备之间传输的报文获取的信息。
一个示例中,数据报文信息可以包括报文特征,例如五元组信息(包括源IP(Internet Protocol,互联网协议)地址、源端口、目的IP地址、目的端口和传输层协议),还可以包括报文统计值,例如第一统计值和第二统计值等,其中,第一统计值是指对应五元组信息所属的正向报文的统计值,第二统计值是与第一统计值对应的、对应五元组信息所属的反向报文的统计值。
例如,设备A向设备B发送了一个报文1(假设为正向报文),设备B响应报文1并返回报文2(即为报文1的反向报文)。那么报文1的源IP地址为设备A的IP地址、源端口为设备A的端口、目的IP地址为设备B的IP地址、目的端口为设备B的端口,报文2的源IP地址为设备B的IP地址、源端口为设备B的端口、目的IP地址为设备A的IP地址、目的端口为设备A的端口,则第一统计值表示从设备A的端口发至设备B的端口的正向报文(即上述报文1)的统计值,第二统计值表示从设备B的端口返回至设备A的端口的反向报文(即上述报文2)的统计值。第一统计值和第二统计值具体是对正向报文和反向报文进行统计得到的统计值,具体可以为报文值、流量值等。
另一个示例中,数据报文信息包括五元组信息、第一统计值和第二统计值的对应关系。数据报文信息如后续表1所示。为方便描述,发往目标设备的报文为正向报文,即目的IP为目标设备的IP地址、目的端口为目标设备的第一端口的报文为正向报文,源IP地址为该正向报文的目的IP地址、源端口为该正向报文的目的端口、目的IP地址为该正向报文的源IP地址、目的端口为该正向报文的源端口的报文为反向报文。
数据报文在经过网络安全设备时,网络安全设备可以对数据报文进行统计分析,获取到数据报文信息。数据报文信息还可以是通过网络中的流量探针探测得到,网络安全设备可以从流量探针获取到数据报文信息。
在对端口扫描行为进行检测时,一般是周期性地进行检测,以检测目标设备的端口是否在一段时间内被扫描。数据报文信息是通过对数据报文进行分析得到的,传统的数据报文分析的方式为netflow(网络流)方式,netflow方式在实际应用中是对部分的数据报文进行解析,存在解析出来的数据报文信息并不能完全反应目标设备被扫描的全部场景。因此,在本发明实施例中,可以利用流量探针接收探测到的全部数据报文,流量探针对全部的数据报文进行解析得到数据报文信息,再将数据报文信息上报给网络安全设备,流量探针解析出来的数据报文信息可以以表1所示的格式进行记录。
表1数据报文信息
| 源IP | 源端口 | 目的IP | 目的端口 | 协议 | 第一统计值 | 第二统计值 |
S102,统计五元组信息中目的端口为目标设备的第一端口的第一数量,并判断第一数量是否超过第一预设数量阈值。
网络安全设备在获取到统计的数据报文信息后,可以基于数据报文信息进行特征统计。
一方面,可以统计五元组信息中目的端口为目标设备的第一端口的第一数量。
在具体实施中,目标设备为网络中的某一个设备,可以是计算机、服务器等等。假设攻击者想要发起针对目标设备的第一端口的端口扫描攻击行为,那么攻击者在向目标设备发起端口扫描攻击时,用作攻击的攻击报文的目的端口为攻击者待攻击的目标设备的第一端口,攻击者需要基于目标设备响应报文的报文信息来获知目标设备的信息。这个过程中,由于目标设备不一定会每次都响应攻击者发送的攻击报文,为了获知目标设备的信息,攻击者会频繁地向目标设备发送携带目的端口为不同第一端口的攻击报文,这就会使得目标设备的第一端口的数量(以下称为第一数量)会比正常通信时大,因此,首先需要统计出五元组中目的端口为目标设备的第一端口的第一数量。
另一方面,在统计得到第一数量之后,需要基于第一数量判断当前的网络通信行为是否为端口扫描行为。一个示例中,在网络安全设备上可以设置第一预设数量阈值,第一预设数量阈值是基于目标设备正常情况下依据接收的数据报文的目的端口数量的经验值进行设置。如果第一数量超过第一预设数量阈值,则说明可能有针对目标设备的端口扫描行为;如果第一数量没有超过第一预设数量阈值,则说明对于目标设备来讲,目前与终端之间是正常的数据传输行为。
S103,若第一数量超过第一预设数量阈值,则获取数据报文信息中目的端口为第一端口的第一报文信息,并在第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计第二报文信息中目的端口的第二数量。
在例如FTP技术在网络上进行文件传输等特殊场景下,终端和目标设备之间会在一段时间内频繁的交互数据报文,如果直接通过第一数量超过第一预设数量阈值判定存在针对目标设备的端口扫描行为,会将正常的数据传输行为识别为端口扫描行为。
发明人发现:网络中设备双方正常通信时,业务请求报文与响应业务请求的业务响应报文数量相差不大。为了避免上述情况,发明人依据上述发现的技术原理,在本发明实施例确定第一数量超过第一预设数量阈值之后,还会获取数据报文信息中的反向报文的统计信息,以通过反向报文的统计信息来进一步确认是否存在端口扫描行为。
经过前述可知,反向报文的统计信息为数据报文信息中的第二统计值,依据该第二统计值确定是否存在端口扫描行为的过程如下。
网络安全设备获取数据报文信息中目的端口为第一端口的第一报文信息,并从第一报文信息中,确定出第二统计值小于预设阈值的第二报文信息。可以知晓,第一报文信息中的第一统计值是目的端口为目标设备的第一端口的第一正向报文的统计值,第一报文信息中的第二统计值是针对第一正向报文的反向报文的统计值。
如果第二统计值小于预设阈值,则说明目标设备针对接收到的携带目的端口为第二报文信息包括的第一端口的报文,没有响应报文或者只有少量的响应报文。如果第二报文信息包括的第一端口占所有第一端口的占比较大,则说明目标设备的端口被扫描的可能性较大。因此,可以对第二报文信息中的目的端口的第二数量,进一步确认是否存在端口扫描行为。
可选的,第二统计值可以包括报文值和/或流量值。
相应的,S103中在第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计第二报文信息中目的端口的第二数量的步骤,具体可以通过如下步骤实现:
在第一报文信息中,确定报文值小于预设报文值且流量值小于预设流量值的第二报文信息,统计第二报文信息中目的端口的第二数量;
或者,
在第一报文信息中,确定报文值小于预设报文值的第二报文信息,统计第二报文信息中目的端口的第二数量;
或者,
在第一报文信息中,确定流量值小于预设流量值的第二报文信息,统计第二报文信息中目的端口的第二数量。
第二统计值可以是报文值和/或流量值,报文值就是在预设时段内目标设备的第一端口的响应数据报文的总数量,流量值就是在预设时段内目标设备的第一端口响应数据报文的总字节数。
具体的,可以在第一报文信息中,确定报文值小于预设报文值且流量值小于预设流量值的第二报文信息,或者,确定报文值小于预设报文值的第二报文信息,或者,确定流量值小于预设流量值的第二报文信息。在实际应用中,可以将预设报文值设置为3个,预设流量值设置为64Byte,也就是说,确定第一报文信息中,报文值小于3个且流量值小于64Byte的目的第二报文信息,或者,确定第一报文信息中报文值小于3个的第二报文信息,或者,确定第一报文信息中流量值小于64Byte的第二报文信息。
在确定第二报文信息后,可以统计第二报文信息中目的端口的第二数量,以此作为判断目标设备是否被端口扫描的依据。
S104,计算第二数量占第一数量的第一比例,并判断第一比例是否超过第一预设比例阈值。
在统计得到第二数量后,可以计算第二数量占第一数量的第一比例,第一比例越大,存在针对目标设备的端口扫描行为的可能性就越大。在计算出第一比例之后,可以基于第一比例进一步进行当前的网络通信行为是否为端口扫描行为的判断,在网络安全设备上可以设置一个第一预设比例阈值,用来与第一比例进行比较,通过比较结果来判断是否存在针对目标设备的端口扫描行为。
S105,若第一比例超过第一预设比例阈值,则确定存在针对目标设备的端口扫描行为。
如果第一比例超过了第一预设比例阈值,则说明目标设备的第一端口作为目的端口接收到终端发送的报文后,第一端口中未响应报文或者仅有少量响应报文的端口所占比例较大,此时可以确定存在针对目标设备的端口扫描行为。
应用本发明实施例,获取预设时段内统计的数据报文信息,数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,统计五元组信息中目的端口为目标设备的第一端口的第一数量,目的端口为目标设备的第一端口的第一数量超过第一预设数量阈值时,说明目标设备中的大量端口被使用,而在正常的访问过程中,第一端口接收到业务请求报文,一般情况下是会返回业务响应报文的,如果是端口扫描行为,目标设备的端口接收到业务请求报文,是不会返回业务响应报文或者只返回很少的业务响应报文。因此,在第一数量超过第一预设数量阈值的判定基础上,进一步对第二数量进行统计,如果第二数量占第一数量的第一比例很大(超过第一预设比例阈值),则说明接收到业务请求报文但未返回业务响应报文或者只返回很少的业务响应报文的端口占比很大,可以断定此时存在针对目标设备的端口扫描行为,提高了端口扫描行为的检测精度。
基于图1所示实施例,本发明实施例还提供了另一种端口扫描行为的检测方法,如图2所示,可以包括如下步骤。
S201,获取预设时段内统计的数据报文信息,其中,数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据。
S202,统计五元组信息中目的端口为目标设备的第一端口的第一数量,并判断第一数量是否超过第一预设数量阈值,若是则执行S203。
S203,获取数据报文信息中目的端口为第一端口的第一报文信息,并在第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计第二报文信息中目的端口的第二数量。
S204,计算第二数量占第一数量的第一比例,并判断第一比例是否超过第一预设比例阈值,若是则执行S207,否则执行S205。
本发明实施例中的S201至S204与图1所示实施例中的S101至S104的步骤相同,执行过程参照图1所示实施例,这里不再详述。
S205,统计第一端口中指定危险端口的第三数量。
如果第一比例未超过第一预设比例阈值,则说明第一端口中,返回数据报文的端口占比较大。但是,在实际应用中,攻击者会重点选择一些易被攻击的危险端口进行探测,这些端口一般会返回数据报文,通过上述步骤容易将对这些端口的扫描识别为正常的数据传输行为。为了进一步提高端口扫描行为的检测精度,还可以对第一端口中指定危险端口的第三数量进行统计,以此来进一步判断针对目标设备是否存在端口扫描行为。
可选的,S205具体可以通过如下步骤实现:
第一步,读取第一端口中各端口的端口信息。
第二步,将第一端口中各端口的端口信息与预先配置的危险端口配置表进行匹配,其中,危险端口配置表中记录了预先定义的各指定危险端口的端口信息。
第三步,统计第一端口中与危险端口配置表匹配的端口的第三数量。
在网络安全设备上可以预先配置有一个危险端口配置表,危险端口配置表中记录有预先定义的各指定危险端口的端口信息,端口信息可以包括端口号、开放的协议(例如TCP(Transmission Control Protocol,传输控制协议)、UDP(User Datagram Protocol,用户数据报协议)等)、危险描述等,则通过获取第一端口中各端口的端口信息,分别与危险端口配置表中的端口信息进行匹配,如果比配上,则说明端口为危险端口,统计出匹配上的端口的第三数量。危险端口配置表可以如表2所示。
表2危险端口配置表
| 端口号 | 开放的协议 | 危险描述 |
| 135 | TCP | 病毒传播 |
| 139 | TCP | 病毒传播 |
| 445 | TCP | 病毒传播 |
| 69 | UDP | 病毒传播 |
| 1434 | UDP | 蠕虫病毒传播 |
| …… | …… | …… |
S206,判断第三数量是否超过第二预设数量阈值,若是则执行S207。
在统计得到第三数量之后,可以将第三数量与第二预设数量阈值进行判断,第二预设数量阈值为预先设置的数量阈值,如果第三数量超过第二预设数量阈值,则可以认为终端探测危险端口的数量较多,例如,设置的第二预设数量阈值为5个,而经过例如危险端口配置表的匹配之后,统计出第一端口中是危险端口的端口数量为8个,超过了第二预设数量阈值,此时,认为终端是攻击者的可能性较大,目标设备端口被扫描的几率较大。
可选的,在执行S205之后,本发明实施例所提供的方法还可以执行如下步骤:
计算第三数量占第一数量的第二比例;判断第二比例是否超过第二预设比例阈值;若超过,则确定存在针对目标设备的端口扫描行为。
在统计得到第三数量之后,还可以进一步的计算第三数量占第一数量的第二比例,计算出终端访问的危险端口数量占访问的总端口数量的比例,第二预设比例阈值为预先设置的比例阈值,如果第二比例超过第二预设比例阈值,则说明终端探测危险端口的数量所占比例较大,该终端是攻击者的可能性较大,目标设备端口被扫描的几率较大。
在本发明实施例中,统计得到第三数量之后,可以从上述判断第三数量是否超过第二预设数量阈值的步骤和判断第三数量占第一数量的第二比例是否超过第二预设比例阈值的步骤中选择一个步骤执行;也可以两个步骤并列执行,即第三数量超过第二预设数量阈值和第二比例第二预设比例阈值,则确定存在针对目标设备的端口扫描行为;还可以两个步骤顺序执行,即在第三数量超过第二预设数量阈值时,再判断第二比例是否超过第二预设比例阈值,超过则确定存在针对目标设备的端口扫描行为;或者,还可以在第二比例超过第二预设比例阈值时,再判断第三数量是否超过第二预设数量阈值,超过则确定存在针对目标设备的端口扫描行为。
S207,确定存在针对目标设备的端口扫描行为。
应用本发明实施例,在第一数量超过第一预设数量阈值的判定基础上,进一步对第二数量进行统计,如果第二数量占第一数量的第一比例很大(超过第一预设比例阈值),则说明接收到业务请求报文但未返回业务响应报文或者只返回很少的业务响应报文的端口占比很大,可以断定此时存在针对目标设备的端口扫描行为,提高了端口扫描行为的检测精度。
或者,在第一比例未超过第一预设比例阈值的情况下,进一步基于对第一端口中指定危险端口的第三数量进行端口扫描行为的判断,有效地应对了攻击者频繁探测危险端口的情况,如果第三数量超过第二预设数量阈值或者第三数量占第一数量的第二比例超过第二预设比例阈值,则说明攻击者探测危险端口的数量较多或者攻击者探测危险端口的数量所占比例较大,可以识别为异常的端口扫描行为,进一步提升了端口扫描行为的检测精度。
相应于上述方法实施例,本发明实施例提供了一种端口扫描行为的检测装置,如图3所示,该装置可以包括:
获取模块310,用于获取预设时段内统计的数据报文信息,所述数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;
统计模块320,用于统计所述五元组信息中目的端口为目标设备的第一端口的第一数量,并判断所述第一数量是否超过第一预设数量阈值;若所述第一数量超过所述第一预设数量阈值,则获取所述数据报文信息中目的端口为所述第一端口的第一报文信息,并在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
判断模块330,用于计算所述第二数量占所述第一数量的第一比例,并判断所述第一比例是否超过第一预设比例阈值;
确定模块340,用于若所述判断模块330的判断结果为所述第一比例超过所述第一预设比例阈值,则确定存在针对所述目标设备的端口扫描行为。
可选的,所述第二统计值包括报文值和/或流量值;
所述统计模块320在用于所述在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量时,具体可以用于:
在所述第一报文信息中,确定报文值小于预设报文值且流量值小于预设流量值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
或者,
在所述第一报文信息中,确定报文值小于预设报文值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
或者,
在所述第一报文信息中,确定流量值小于预设流量值的第二报文信息,统计所述第二报文信息中目的端口的第二数量。
可选的,所述统计模块320,还可以用于若所述判断模块330的判断结果为所述第一比例未超过所述第一预设比例阈值,则统计所述第一端口中指定危险端口的第三数量;
所述判断模块330,还可以用于判断所述第三数量是否超过第二预设数量阈值;
所述确定模块340,还可以用于若所述判断模块330的判断结果为所述第三数量超过所述第二预设数量阈值,则确定存在针对所述目标设备的端口扫描行为。
可选的,所述统计模块320在用于所述统计所述第一端口中指定危险端口的第三数量时,具体可以用于:
读取所述第一端口中各端口的端口信息;
将所述第一端口中各端口的端口信息与预先配置的危险端口配置表进行匹配,所述危险端口配置表中记录了预先定义的各指定危险端口的端口信息;
统计所述第一端口中与所述危险端口配置表匹配的端口的第三数量。
可选的,所述装置还可以包括:
计算模块,用于计算所述第三数量占所述第一数量的第二比例;
所述判断模块,还用于判断所述第二比例是否超过第二预设比例阈值;
所述确定模块,还用于若所述判断模块的判断结果为所述第二比例超过所述第二预设比例阈值,则确定存在针对所述目标设备的端口扫描行为。
应用本发明实施例,获取预设时段内统计的数据报文信息,数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,统计五元组信息中目的端口为目标设备的第一端口的第一数量,目的端口为目标设备的第一端口的第一数量超过第一预设数量阈值时,说明目标设备中的大量端口被使用,而在正常的访问过程中,第一端口接收到业务请求报文,一般情况下是会返回业务响应报文的,如果是端口扫描行为,目标设备的端口接收到业务请求报文,是不会返回业务响应报文或者只返回很少的业务响应报文。因此,在第一数量超过第一预设数量阈值的判定基础上,进一步对第二数量进行统计,如果第二数量占第一数量的第一比例很大(超过第一预设比例阈值),则说明接收到业务请求报文但未返回业务响应报文或者只返回很少的业务响应报文的端口占比很大,可以断定此时存在针对目标设备的端口扫描行为,提高了端口扫描行为的检测精度。
本发明实施例还提供了一种网络安全设备,如图4所示,包括处理器401和机器可读存储介质402,其中,所述机器可读存储介质402存储有能够被所述处理器401执行的机器可执行指令,所述机器可执行指令由所述处理器401加载并执行,以实现本发明实施例所提供的端口扫描行为的检测方法。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
机器可读存储介质402与处理器401之间可以通过有线连接或者无线连接的方式进行数据传输,并且网络安全设备与其他设备之间可以通过有线通信接口或者无线通信接口进行通信。图4所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。
本实施例中,处理器通过读取机器可读存储介质中存储的机器可执行指令,并通过加载和执行机器可执行指令,能够实现:网络安全设备获取预设时段内统计的数据报文信息,数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,统计五元组信息中目的端口为目标设备的第一端口的第一数量,目的端口为目标设备的第一端口的第一数量超过第一预设数量阈值时,说明目标设备中的大量端口被使用,而在正常的访问过程中,第一端口接收到业务请求报文,一般情况下是会返回业务响应报文的,如果是端口扫描行为,目标设备的端口接收到业务请求报文,是不会返回业务响应报文或者只返回很少的业务响应报文。因此,在第一数量超过第一预设数量阈值的判定基础上,进一步对第二数量进行统计,如果第二数量占第一数量的第一比例很大(超过第一预设比例阈值),则说明接收到业务请求报文但未返回业务响应报文或者只返回很少的业务响应报文的端口占比很大,可以断定此时存在针对目标设备的端口扫描行为,提高了端口扫描行为的检测精度。
另外,本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现本发明实施例所提供的端口扫描行为的检测方法。
本实施例中,机器可读存储介质存储有在运行时执行本发明实施例所提供的端口扫描行为的检测方法的机器可执行指令,因此能够实现:网络安全设备获取预设时段内统计的数据报文信息,数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,统计五元组信息中目的端口为目标设备的第一端口的第一数量,目的端口为目标设备的第一端口的第一数量超过第一预设数量阈值时,说明目标设备中的大量端口被使用,而在正常的访问过程中,第一端口接收到业务请求报文,一般情况下是会返回业务响应报文的,如果是端口扫描行为,目标设备的端口接收到业务请求报文,是不会返回业务响应报文或者只返回很少的业务响应报文。因此,在第一数量超过第一预设数量阈值的判定基础上,进一步对第二数量进行统计,如果第二数量占第一数量的第一比例很大(超过第一预设比例阈值),则说明接收到业务请求报文但未返回业务响应报文或者只返回很少的业务响应报文的端口占比很大,可以断定此时存在针对目标设备的端口扫描行为,提高了端口扫描行为的检测精度。
对于网络安全设备及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、网络安全设备及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种端口扫描行为的检测方法,其特征在于,所述方法包括:
获取预设时段内统计的数据报文信息,所述数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;
统计所述五元组信息中目的端口为目标设备的第一端口的第一数量,并判断所述第一数量是否超过第一预设数量阈值;
若所述第一数量超过所述第一预设数量阈值,则获取所述数据报文信息中目的端口为所述第一端口的第一报文信息,并在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
计算所述第二数量占所述第一数量的第一比例,并判断所述第一比例是否超过第一预设比例阈值;
若所述第一比例超过所述第一预设比例阈值,则确定存在针对所述目标设备的端口扫描行为;
在所述判断所述第一比例是否超过第一预设比例阈值之后,所述方法还包括:
若所述第一比例未超过所述第一预设比例阈值,则统计所述第一端口中指定危险端口的第三数量;
判断所述第三数量是否超过第二预设数量阈值;
若超过,则确定存在针对所述目标设备的端口扫描行为。
2.根据权利要求1所述的方法,其特征在于,所述第二统计值包括报文值和/或流量值;
所述在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量,包括:
在所述第一报文信息中,确定报文值小于预设报文值且流量值小于预设流量值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
或者,
在所述第一报文信息中,确定报文值小于预设报文值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
或者,
在所述第一报文信息中,确定流量值小于预设流量值的第二报文信息,统计所述第二报文信息中目的端口的第二数量。
3.根据权利要求1所述的方法,其特征在于,所述统计所述第一端口中指定危险端口的第三数量,包括:
读取所述第一端口中各端口的端口信息;
将所述第一端口中各端口的端口信息与预先配置的危险端口配置表进行匹配,所述危险端口配置表中记录了预先定义的各指定危险端口的端口信息;
统计所述第一端口中与所述危险端口配置表匹配的端口的第三数量。
4.根据权利要求1所述的方法,其特征在于,在所述统计所述第一端口中指定危险端口的第三数量之后,所述方法还包括:
计算所述第三数量占所述第一数量的第二比例;
判断所述第二比例是否超过第二预设比例阈值;
若超过,则确定存在针对所述目标设备的端口扫描行为。
5.一种端口扫描行为的检测装置,其特征在于,所述装置包括:
获取模块,用于获取预设时段内统计的数据报文信息,所述数据报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;
统计模块,用于统计所述五元组信息中目的端口为目标设备的第一端口的第一数量,并判断所述第一数量是否超过第一预设数量阈值;若所述第一数量超过所述第一预设数量阈值,则获取所述数据报文信息中目的端口为所述第一端口的第一报文信息,并在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
判断模块,用于计算所述第二数量占所述第一数量的第一比例,并判断所述第一比例是否超过第一预设比例阈值;
确定模块,用于若所述判断模块的判断结果为所述第一比例超过所述第一预设比例阈值,则确定存在针对所述目标设备的端口扫描行为;
所述统计模块,还用于若所述判断模块的判断结果为所述第一比例未超过所述第一预设比例阈值,则统计所述第一端口中指定危险端口的第三数量;
所述判断模块,还用于判断所述第三数量是否超过第二预设数量阈值;
所述确定模块,还用于若所述判断模块的判断结果为所述第三数量超过所述第二预设数量阈值,则确定存在针对所述目标设备的端口扫描行为。
6.根据权利要求5所述的装置,其特征在于,所述第二统计值包括报文值和/或流量值;
所述统计模块在用于所述在所述第一报文信息中,确定第二统计值小于预设阈值的第二报文信息,统计所述第二报文信息中目的端口的第二数量时,具体用于:
在所述第一报文信息中,确定报文值小于预设报文值且流量值小于预设流量值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
或者,
在所述第一报文信息中,确定报文值小于预设报文值的第二报文信息,统计所述第二报文信息中目的端口的第二数量;
或者,
在所述第一报文信息中,确定流量值小于预设流量值的第二报文信息,统计所述第二报文信息中目的端口的第二数量。
7.根据权利要求5所述的装置,其特征在于,所述统计模块在用于所述统计所述第一端口中指定危险端口的第三数量时,具体用于:
读取所述第一端口中各端口的端口信息;
将所述第一端口中各端口的端口信息与预先配置的危险端口配置表进行匹配,所述危险端口配置表中记录了预先定义的各指定危险端口的端口信息;
统计所述第一端口中与所述危险端口配置表匹配的端口的第三数量。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
计算模块,用于计算所述第三数量占所述第一数量的第二比例;
所述判断模块,还用于判断所述第二比例是否超过第二预设比例阈值;
所述确定模块,还用于若所述判断模块的判断结果为所述第二比例超过所述第二预设比例阈值,则确定存在针对所述目标设备的端口扫描行为。
9.一种网络安全设备,其特征在于,包括处理器和机器可读存储介质,其中,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令由所述处理器加载并执行,以实现权利要求1-4任一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现权利要求1-4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910491327.6A CN110266668B (zh) | 2019-06-06 | 2019-06-06 | 一种端口扫描行为的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910491327.6A CN110266668B (zh) | 2019-06-06 | 2019-06-06 | 一种端口扫描行为的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110266668A CN110266668A (zh) | 2019-09-20 |
| CN110266668B true CN110266668B (zh) | 2021-09-17 |
Family
ID=67917110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910491327.6A Active CN110266668B (zh) | 2019-06-06 | 2019-06-06 | 一种端口扫描行为的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266668B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111224997B (zh) * | 2020-01-17 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN113765844B (zh) * | 2020-06-01 | 2023-05-05 | 极客信安(北京)科技有限公司 | 一种加密正常流量的过滤方法、装置和电子设备 |
| CN114285654A (zh) * | 2021-12-27 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种检测攻击的方法和装置 |
| CN114760216B (zh) * | 2022-04-12 | 2023-12-05 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN101626321A (zh) * | 2009-08-14 | 2010-01-13 | 成都市华为赛门铁克科技有限公司 | 检测蠕虫扫描的方法和装置 |
| US7908655B1 (en) * | 2005-08-16 | 2011-03-15 | Sprint Communications Company L.P. | Connectionless port scan detection on a network |
| CN106506557A (zh) * | 2016-12-29 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种端口扫描检测方法及装置 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
-
2019
- 2019-06-06 CN CN201910491327.6A patent/CN110266668B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7908655B1 (en) * | 2005-08-16 | 2011-03-15 | Sprint Communications Company L.P. | Connectionless port scan detection on a network |
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN101626321A (zh) * | 2009-08-14 | 2010-01-13 | 成都市华为赛门铁克科技有限公司 | 检测蠕虫扫描的方法和装置 |
| CN106506557A (zh) * | 2016-12-29 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种端口扫描检测方法及装置 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110266668A (zh) | 2019-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266668B (zh) | 一种端口扫描行为的检测方法及装置 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| CN109831461B (zh) | 一种分布式拒绝服务DDoS攻击防御方法及装置 | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| US8650287B2 (en) | Local reputation to adjust sensitivity of behavioral detection system | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| US10193900B2 (en) | Methods and apparatus to identify an internet protocol address blacklist boundary | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN109495521B (zh) | 一种异常流量检测方法及装置 | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| CN107547503B (zh) | 一种会话表项处理方法、装置、防火墙设备及存储介质 | |
| CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
| CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN112751862A (zh) | 一种端口扫描攻击检测方法、装置及电子设备 | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
| JPWO2016175131A1 (ja) | コネクション制御装置、コネクション制御方法およびコネクション制御プログラム | |
| US10447715B2 (en) | Apparatus and method of detecting distributed reflection denial of service attack based on flow information | |
| CN110535888B (zh) | 端口扫描攻击检测方法及相关装置 | |
| CN109831462B (zh) | 一种病毒检测方法及装置 | |
| JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |