CN110750785A - 针对主机端口扫描行为的检测方法及装置 - Google Patents
针对主机端口扫描行为的检测方法及装置 Download PDFInfo
- Publication number
- CN110750785A CN110750785A CN201911020509.1A CN201911020509A CN110750785A CN 110750785 A CN110750785 A CN 110750785A CN 201911020509 A CN201911020509 A CN 201911020509A CN 110750785 A CN110750785 A CN 110750785A
- Authority
- CN
- China
- Prior art keywords
- connection
- server
- data packet
- address
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种针对主机端口扫描行为的检测方法及装置,涉及信息安全的技术领域,包括:先获取交换机的网络流量,并对网络流量进行镜像处理,得到镜像流量;其中,镜像流量包括至少一个数据包;然后采集连接标记未出现过的数据包的特征;其中,特征包括:客户端IP地址、服务端IP地址和服务端端口;将客户端IP地址和服务端IP地址作为二元组信息标记连接标记未出现过的数据包;统计二元组信息一致、服务端端口不一致的连接标记未出现过的数据包的个数,得到统计数据;最后采用惰性机制对所有的统计数据进行检测,在任一统计数据超过阈值时,进行告警。本发明可以快速地检测出扫描行为,并且可以准确地确定被扫描的服务端。
Description
技术领域
本发明涉及信息安全技术领域,尤其是涉及一种针对主机端口扫描行为的检测方法及装置。
背景技术
随着互联网快速地发展,各式各样的入侵手段层出不穷,其中一种重要的入侵手段为端口扫描。其原理为入侵者通过发送一组端口扫描消息以实现对某台计算机的侵入,在入侵过程中先了解其提供的计算机网络服务类型,再针对这些网络服务进行进一步的攻击。
目前针对端口扫描行为的检测有以下两种方法:一种是传统检测方法,即在固定时间T内,检测客户端不同端口发送的数据包数量是否超过预设阈值N,若是,则确定该客户端存在扫描行为;另一种是snort检测方法,即在固定时间T内,检测从相同源地址X的客户端发往不同目的地址Y的服务端的数据包数量是否大于设定的阈值N,若该数据包数量大于阈值N,则确定相同源地址X的客户端存在端口扫描行为。因此,以上两种方法都具有以下缺点:仅确定了存在扫描行为的客户端,无法确定被扫描的服务端。
发明内容
本发明的目的在于提供一种针对主机端口扫描行为的检测方法及装置,可以快速地检测出扫描行为,并且可以准确地确定被扫描的服务端。
本发明提供的一种针对主机端口扫描行为的检测方法,其中,包括:获取交换机的网络流量,并对所述网络流量进行镜像处理,得到镜像流量;其中,所述镜像流量包括至少一个数据包;确定每个所述数据包的连接标记;判断每个所述数据包的连接标记是否已经出现过;采集连接标记未出现过的数据包的特征;其中,所述特征包括:客户端IP地址、服务端IP地址和服务端端口;将所述客户端IP地址和所述服务端IP地址作为二元组信息标记所述连接标记未出现过的数据包;统计二元组信息一致、服务端端口不一致的所述连接标记未出现过的数据包的个数,得到统计数据;采用惰性机制对所有的统计数据进行检测,在任一所述统计数据超过阈值时,进行告警。
进一步的,确定每个所述数据包的连接标记的步骤包括:针对每个所述数据包,根据网络协议进行解析,得到所述数据包的四元组信息;其中,所述四元组信息包括:客户端IP地址、客户端端口、服务端IP地址和服务端端口;基于所述四元组信息标记所述数据包的连接,确定所述数据包的连接标记;其中,四元组信息一致的数据包对应同一连接。
进一步的,采用惰性机制对所有的统计数据进行检测的步骤包括:在达到预设周期时,对所有的统计数据进行检测。
进一步的,在判断每个所述数据包的连接标记是否已经出现过之后,还包括:将连接标记出现过的数据包进行删除操作。
本发明提供的一种针对主机端口扫描行为的检测装置,其中,包括:获取模块,用于获取交换机的网络流量,并对所述网络流量进行镜像处理,得到镜像流量;其中,所述镜像流量包括至少一个数据包;确定模块,用于确定每个所述数据包的连接标记;判断模块,用于判断每个所述数据包的连接标记是否已经出现过;采集模块,用于采集连接标记未出现过的数据包的特征;其中,所述特征包括:客户端IP地址、服务端IP地址和服务端端口;标记模块,用于将所述客户端IP地址和所述服务端IP地址作为二元组信息标记所述连接标记未出现过的数据包;统计模块,用于统计二元组信息一致、服务端端口不一致的所述连接标记未出现过的数据包的个数,得到统计数据;检测模块,用于采用惰性机制对所有的统计数据进行检测,在任一所述统计数据超过阈值时,进行告警。
进一步的,确定模块包括:解析单元,用于针对每个所述数据包,根据网络协议进行解析,得到所述数据包的四元组信息;其中,所述四元组信息包括:客户端IP地址、客户端端口、服务端IP地址和服务端端口;确定单元,用于基于所述四元组信息标记所述数据包的连接,确定所述数据包的连接标记;其中,四元组信息一致的数据包对应同一连接。
进一步的,检测模块包括:检测单元,用于在达到预设周期时,对所有的统计数据进行检测。
进一步的,检测装置还包括:删除模块,用于将连接标记出现过的数据包进行删除操作。
本发明还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现所述的针对主机端口扫描行为的检测方法。
本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,其中,所述程序代码使所述处理器执行所述的针对主机端口扫描行为的检测方法。
本发明提供的一种针对主机端口扫描行为的检测方法及装置,先获取交换机的网络流量,并对网络流量进行镜像处理,得到镜像流量;其中,镜像流量包括至少一个数据包;然后确定每个数据包的连接标记;判断每个数据包的连接标记是否已经出现过;采集连接标记未出现过的数据包的特征;其中,特征包括:客户端IP地址、服务端IP地址和服务端端口;将客户端IP地址和服务端IP地址作为二元组信息标记连接标记未出现过的数据包;统计二元组信息一致、服务端端口不一致的连接标记未出现过的数据包的个数,得到统计数据;最后采用惰性机制对所有的统计数据进行检测,在任一统计数据超过阈值时,进行告警。
本发明采集连接标记未出现过的数据包的特征,对连接标记出现过的数据包的特征不再重复采集,可以保证每个连接标记的数据包的个数为一个。本发明可以根据二元组信息和服务端端口统计同一客户端对同一服务端的不同服务端端口进行扫描的次数,而对同一服务端的同一服务端端口进行的多次扫描不进行重复统计,可以大幅度提高统计精准度,减少误判。本发明可以快速地检测出客户端在服务端端口存在的扫描行为,并对扫描行为进行有效预警,也可以准确地确定被扫描的服务端。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种针对主机端口扫描行为的检测方法的流程图;
图2为图1中步骤S102的流程图;
图3为本发明实施例提供的另一种针对主机端口扫描行为的检测方法的流程图;
图4为本发明实施例提供的一种针对主机端口扫描行为的检测装置的结构示意图;
图5为本发明实施例提供的另一种针对主机端口扫描行为的检测装置的结构示意图。
图标:
11-获取模块;12-确定模块;13-判断模块;14-采集模块;15-标记模块;16-统计模块;17-检测模块;18-删除模块。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前针对端口扫描行为的检测有以下两种方法:一种是传统检测方法,即在固定时间T内,检测客户端不同端口发送的数据包数量是否超过预设阈值N,若是,则确定该客户端存在扫描行为;另一种是snort检测方法,即在固定时间T内,检测从相同源地址X的客户端发往不同目的地址Y的服务端的数据包数量是否大于设定的阈值N,若该数据包数量大于阈值N,则确定相同源地址X的客户端存在端口扫描行为。其缺点是不断地统计不同服务器不同端口的数据包数量,占用大量系统资源。因此,以上两种方法都具有以下缺点:仅确定了存在扫描行为的客户端,无法确定被扫描的服务端。基于此,本发明实施例提供了一种针对端口扫描行为的检测方法及装置,用于确定存在扫描行为的客户端,以及被扫描的服务端。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种针对端口扫描行为的检测方法进行详细介绍。
实施例一:
图1为本发明实施例提供的一种针对主机端口扫描行为的检测方法。参照图1,其中,方法包括以下步骤:
步骤S101,获取交换机的网络流量,并对网络流量进行镜像处理,得到镜像流量;其中,镜像流量包括至少一个数据包。
在本发明实施例中,为了获取交换机的网络流量,本发明实施例先采用旁路监控模式实现网络监控。其中,旁路监控模式可以指通过交换机等网络设备的“端口镜像”功能来实现监控。旁路监控模式部署灵活方便,在交换机上配置镜像端口即可获取网络流量,也不影响现有的网络结构。另外,采用旁路监控模式分析的是镜像流量,镜像流量为镜像处理后的拷贝数据。
步骤S102,确定每个数据包的连接标记。
在本发明实施例中,可以基于TCP协议的SYN建立TCP/IP的握手连接。具体的,先由客户端向服务端发送SYN,再由服务端向客户端发送SYN和ACK,最后由客户端向服务端发送一个ACK响应,由此建立一个完整的连接。若多个数据包的客户端IP地址、客户端端口、服务端IP地址和服务端端口均相同,则说明上述多个数据包属于同一连接,且上述多个数据包的连接标记也相同。反之,不同连接的数据包对应着不同的连接标记。
连接存在连接成功与连接失败两种状态,而且连接状态与服务端端口状态是一致的。具体的,客户端扫描的服务端端口若为开放状态,则本次连接为连接成功;客户端扫描的服务端端口若为关闭状态,则本次连接为连接失败。端口扫描可以指客户端(或称为攻击者、入侵者)针对某一服务端的一段端口或者指定的端口使用TCP连接的方式进行的扫描。只要TCP连接成功,则证明被扫描的服务端端口处于开放状态。其中,每一个开放的服务端端口都是一个潜在的入侵通道。
目前传统技术仅能检测连接成功时的扫描行为,无法检测连接失败时的预扫描行为。预扫描行为可以指客户端在对服务器的多个服务器端口进行入侵时,由于这些服务器端口均处于关闭状态导致入侵失败的行为。也就是说传统技术仅能在服务端端口开放的情况下进行检测,对于服务端不存在开放端口的情况下无法进行有效检测。而本发明实施例不管连接成功与否,均对数据包的连接进行连接标记,既可以检测连接成功时的扫描行为,也可以检测出连接失败的预扫描行为,在之后的步骤中还可以实现对连接失败时的预扫描行为起到预防作用。例如,客户端A计划入侵服务端B的服务端端口B1、B2、B3、B4、B5、B6、B7、B8、B9和B10,由于上述10个服务端端口均处于关闭状态,因此连接失败,构成预扫描行为。本发明实施例之后的步骤可以在服务端端口的个数为10大于预设阈值6时,确定发起入侵的客户端,并发生预警,起到预防的作用。
步骤S103,判断每个数据包的连接标记是否已经出现过。
现有技术对于每一个连接都重复统计,造成了不必要的性能消耗,本发明实施例中步骤S103的目的在于判断同一连接标记对应的数据包是否重复存在,对于同一连接标记对应的数据包不再重复统计。在本发明实施例中,连接包括客户端IP地址、客户端端口、服务端IP地址和服务端端口在内的四元组信息。因此连接标记可以为下述形式(x1,x2,x3,x4)。
步骤S104,采集连接标记未出现过的数据包的特征;其中,特征包括:客户端IP地址、服务端IP地址和服务端端口。
在本发明实施例中,采集连接标记未出现过的数据包的特征的目的在于对连接进行去重,每个连接只检测一次。本发明实施例可以针对每个连接仅获取一个数据包。例如,镜像流量中有3个数据包,其中2个数据包的连接标记为(IP1,端口1,IP2,端口2),1个数据包的连接标记为(IP3,端口1,IP4,端口1)。在判断第一个连接标记为(IP1,端口1,IP2,端口2)的数据包时,由于该连接标记在此之前未出现过,所以采集第一个连接标记为(IP1,端口1,IP2,端口2)的数据包;然后接着判断,在判断第二个连接标记为(IP1,端口1,IP2,端口2)的数据包时,由于该连接标记出现过,所以对连接标记为(IP1,端口1,IP2,端口2)的第二个数据包不进行重复采集;最后判断连接标记为(IP3,端口1,IP4,端口1)的数据包时,由于该连接标记在此之前未出现过,所以采集连接标记为(IP3,端口1,IP4,端口1)的数据包。
在本发明实施例中,传统检测方法具有以下缺点:在某些特定环境下,客户端频繁地使用服务端的非常用端口,会造成误报。其中,非常用端口为目前开放的、网络约定俗成的端口。而本发明实施例可以仅检测服务端常用的预设个数的服务端端口,预设个数可以指100个。本发明实施例可以根据四元组信息中的服务端端口确定该数据包是否使用的是服务端的非常用端口,若是,则删除上述使用了服务端的非常用端口的数据包,可以保证检测的准确性。
步骤S105,将客户端IP地址和服务端IP地址作为二元组信息标记连接标记未出现过的数据包。
对步骤S105进行举例说明:若未出现过的数据包有5个,其中数据包1的连接标记为(IP1,端口1,IP2,端口1),数据包2的连接标记为(IP1,端口2,IP2,端口1),数据包3的连接标记为(IP1,端口3,IP2,端口2),数据包4的连接标记为(IP3,端口1,IP2,端口1),数据包5的连接标记为(IP3,端口1,IP4,端口1)。则二元组信息(IP1,IP2)标记数据包1,2,3;二元组信息(IP3,IP2)标记数据包4,(IP3,IP4)标记数据包5。
步骤S106,统计二元组信息一致、服务端端口不一致的连接标记未出现过的数据包的个数,得到统计数据。
在本发明实施例中,将二元组信息一致的、连接标记未出现过的数据包进行统计,可以在网络流量中快速准确地检测出扫描行为,且发现扫描者和被扫描的服务器,其中扫描者为客户端,被扫描的服务器为服务端,两者信息均在二元组信息中体现。服务端端口不一致的目的在于对服务端端口进行类别划分。
本发明实施例是在上述步骤S105的基础上进行的统计,例如,二元组信息(IP1,IP2)标记数据包1,2,3;二元组信息(IP3,IP2)标记数据包4,(IP3,IP4)标记数据包5。因此针对上述三个不同的二元组信息分别进行统计。在统计时,将二元组信息、服务端端口均一致的数据包仅统计一次。因此,二元组信息(IP1,IP2)虽然标记的数据包有三个,但是数据包1和数据包2的二元组信息、服务端端口均一致。因此,二元组信息(IP1,IP2)对应的统计数据为2,二元组信息(IP3,IP2)对应的统计数据为1,二元组信息(IP3,IP4)对应的统计数据为1。
步骤S107,采用惰性机制对所有的统计数据进行检测,在任一统计数据超过阈值时,进行告警。
在本发明实施例中,惰性机制的具体描述为:在达到预设周期时,对所有的统计数据进行检测。
本发明实施例提供的一种针对主机端口扫描行为的检测方法,先获取交换机的网络流量,并对网络流量进行镜像处理,得到镜像流量;其中,镜像流量包括至少一个数据包;然后确定每个数据包的连接标记;判断每个数据包的连接标记是否已经出现过;采集连接标记未出现过的数据包的特征;其中,特征包括:客户端IP地址、服务端IP地址和服务端端口;将客户端IP地址和服务端IP地址作为二元组信息标记连接标记未出现过的数据包;统计二元组信息一致、服务端端口不一致的连接标记未出现过的数据包的个数,得到统计数据;最后采用惰性机制对所有的统计数据进行检测,在任一统计数据超过阈值时,进行告警。
本发明实施例采集连接标记未出现过的数据包的特征,对连接标记出现过的数据包的特征不再重复采集,可以保证每个连接标记的数据包的个数为一个。本发明实施例可以根据二元组信息和服务端端口统计同一客户端对同一服务端的不同服务端端口进行扫描的次数,而对同一服务端的同一服务端端口进行的多次扫描不进行重复统计,可以大幅度提高统计精准度,减少误判。本发明实施例可以快速地检测出客户端在服务端端口存在的扫描行为,并对扫描行为进行有效预警,也可以准确地确定被扫描的服务端。
进一步的,参照图2,步骤S102可以包括以下步骤:
步骤S201,针对每个数据包,根据网络协议进行解析,得到数据包的四元组信息;其中,四元组信息包括:客户端IP地址、客户端端口、服务端IP地址和服务端端口;
步骤S202,基于四元组信息标记数据包的连接,确定数据包的连接标记;其中,四元组信息一致的数据包对应同一连接。
在本发明实施例中,网络协议包括但不限于TCP/IP协议、IPX/SPX协议、NetBIOS/NetBEUI协议、AppleTalk协议。举例对步骤S201、步骤S202进行说明:数据包有3个,根据TCP/IP协议分别对上述3个数据包进行解析,得到每个数据包的四元组数据,数据包1的四元组数据为(IP1,端口1,IP2,端口1),数据包2的四元组数据为(IP1,端口1,IP2,端口1),数据包3的四元组信息为(IP1,端口2,IP2,端口1)。由于数据包1和数据包2的四元组信息一致,而数据包3与数据包1、2具有不同的客户端端口,因此,数据包1和数据包2为同一连接、数据包3为另一连接。本发明实施例可以将相同连接的数据包进行聚类,将不同连接的数据包进行区分。
进一步的,参照图3,在步骤S103之后,还包括:
步骤S108,将连接标记出现过的数据包进行删除操作。
传统检测方法针对每一个连接都需要重复统计,造成了不必要的性能消耗,而本发明实施例删除连接标记出现过的数据包,可以保证每种连接仅统计一个数据包,避免了不必要的性能消耗。
本发明实施例具有以下有益效果:(1)针对同一连接的多个数据包进行去重,以保证每个连接只检测一次;(2)根据二元组信息(客户端IP地址,服务端IP地址),可以针对不同客户端、不同服务端的数据包分别建立扫描行为统计,进而可以将不同的服务器进行区分,确定被扫描的服务器;(3)本发明实施例仅检测服务端常用的100个端口,可以避免发生误报的情况;(4)本发明实施例可以根据统计数据记录扫描主机和被扫描主机,以及被扫描的端口,其中扫描主机为客户端,被扫描主机为服务端,被扫描的端口为服务端端口。
实施例二:
图4为本发明实施例提供的一种针对主机端口扫描行为的检测装置。参照图4,上述装置可以包括以下模块:
获取模块11,用于获取交换机的网络流量,并对网络流量进行镜像处理,得到镜像流量;其中,镜像流量包括至少一个数据包;
获取模块11可以指流量采集模块,目的在于获取交换机对网络流量进行镜像处理得到的镜像流量,也就是说,将网络流量复制一份传给预处理模块,其中,预设模块是指对数据包进行预处理的模块,预设模块的目的在于:根据不同的客户端IP地址、客户端端口、服务端IP地址、服务端端口为四元组信息进行不同连接的标记,当四元组信息相同时,确定为同一个连接。预设模块得到携带连接标记的数据包,将携带连接标记的数据包提交给特征采集模块,用于基于四元组信息对数据包进行过滤。其中,预设模块包括确定模块12和判断模块13,特征采集模块可以包括采集模块14和标记模块15。
确定模块12,用于确定每个数据包的连接标记;
判断模块13,用于判断每个数据包的连接标记是否已经出现过;
采集模块14,用于采集连接标记未出现过的数据包的特征;其中,特征包括:客户端IP地址、服务端IP地址和服务端端口;
标记模块15,用于将客户端IP地址和服务端IP地址作为二元组信息标记连接标记未出现过的数据包;
在本发明实施例中,特征采集模块用于数据包过滤,即判断数据包携带的连接标记是否出现过,并将连接标记对应的多个数据包进行过滤,以保证每个连接仅采集一次,避免重复提取可以大幅度的提高采集效率。特征采集模块还用于提取数据包中的服务端IP地址、客户端IP地址、服务端端口三个特征,并以服务端IP和客户端IP作为二元组信息对该数据包进行标记,并提交给统计模块16。
统计模块16,用于统计二元组信息一致、服务端端口不一致的连接标记未出现过的数据包的个数,得到统计数据;
在本发明实施例中,统计模块16根据二元组信息找到与二元组信息相应的统计模块,查询提交的服务端端口是否属于常用的100个端口且还未进行过统计。如果是,则进行一次统计,并记录此服务端端口。否则不进行统计。
统计模块16的工作方式如下:将客户端IP地址和服务端IP地址作为二元组信息。其中,每个二元组信息对应一个独立的统计模块16,这样可以统计扫描者(客户端)和被扫描者(服务端)的完整信息,且每个被扫描的端口(服务端端口)都是唯一的,不进行二次统计;而且只判断服务端常用的端口,减少其他特别环境的信息干扰,可以大幅度提高统计精准度,减少了误判。
检测模块17,用于采用惰性机制对所有的统计数据进行检测,在任一统计数据超过阈值时,进行告警。
在本发明实施例中,检测模块17在每个统计周期T到来时,对此次进行工作的统计模块进行判断,如果统计模块统计的不同服务端端口对应的数据包数量超过阈值N,则进行告警,告警信息为客户端IP对服务端IP的N个端口进行了扫描;若未超过,则将统计的数据包数量清零重新计算。
检测模块17的工作方式如下:采用惰性判断机制,不会每时每刻地判断统计数据是否达到阈值N。而是在达到统计周期T时进行判断,减少了大量无用的判断以及性能消耗。其中,惰性机制具体指每次只检测本次进行统计的二元组信息相应的统计模块是否达到统计周期T,如果达到,则进一步判断端口是否达到阈值;若未达到阈值,则重新计算。
本发明实施例提供的一种针对主机端口扫描行为的检测装置,先利用获取模块获取交换机的网络流量,并对网络流量进行镜像处理,得到镜像流量;其中,镜像流量包括至少一个数据包;然后利用确定模块确定每个数据包的连接标记;利用判断模块判断每个数据包的连接标记是否已经出现过;利用采集模块采集连接标记未出现过的数据包的特征;其中,特征包括:客户端IP地址、服务端IP地址和服务端端口;利用标记模块将客户端IP地址和服务端IP地址作为二元组信息标记连接标记未出现过的数据包;利用统计模块统计二元组信息一致、服务端端口不一致的连接标记未出现过的数据包的个数,得到统计数据;最后采用惰性机制对所有的统计数据进行检测,在任一统计数据超过阈值时,进行告警。
本发明实施例利用采集模块采集连接标记未出现过的数据包的特征,对连接标记出现过的数据包的特征不再重复采集,可以保证每个连接标记的数据包的个数为一个。本发明实施例可以根据二元组信息和服务端端口利用统计模块统计同一客户端对同一服务端的不同服务端端口进行扫描的次数,而对同一服务端的同一服务端端口进行的多次扫描不进行重复统计,可以大幅度提高统计精准度,减少误判。本发明实施例可以快速地检测出客户端在服务端端口存在的扫描行为,并对扫描行为进行有效预警,也可以准确地确定被扫描的服务端。
进一步的,确定模块12包括:
解析单元,用于针对每个数据包,根据网络协议进行解析,得到数据包的四元组信息;其中,四元组信息包括:客户端IP地址、客户端端口、服务端IP地址和服务端端口;
确定单元,用于基于四元组信息标记数据包的连接,确定数据包的连接标记;其中,四元组信息一致的数据包对应同一连接。
在本发明实施例中,四元组信息对应一个连接,因为每个连接的客户端IP地址、客户端端口、服务端IP地址、服务端端口都是固定的,所以不管此连接的数据包的个数有多少,都只说明该客户端对该服务端进行了一次端口的探测,因此只统计一次即可。
进一步的,检测模块17包括:检测单元,用于在达到预设周期时,对所有的统计数据进行检测。
进一步的,参照图5,本发明实施例提供的另一种针对主机端口扫描行为的检测装置,还包括:删除模块18,用于将连接标记出现过的数据包进行删除操作。
本发明实施例可以有效地解决在网络入侵初期,不能准确快速地发现扫描行为的技术问题,而且可以对入侵者的攻击进行有效预警。
在本发明的又一实施例中,还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法实施例所述方法的步骤。
在本发明的又一实施例中,还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行方法实施例所述方法。
在本发明所提供的实施例中,所揭露的方法和装置,也可以通过其它的方式实现。以上实施例的具体说明仅仅是示意性的,附图当中的模块可以独立存在也可以集成存在,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,上述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种针对主机端口扫描行为的检测方法,其特征在于,包括:
获取交换机的网络流量,并对所述网络流量进行镜像处理,得到镜像流量;其中,所述镜像流量包括至少一个数据包;
确定每个所述数据包的连接标记;
判断每个所述数据包的连接标记是否已经出现过;
采集连接标记未出现过的数据包的特征;其中,所述特征包括:客户端IP地址、服务端IP地址和服务端端口;
将所述客户端IP地址和所述服务端IP地址作为二元组信息标记所述连接标记未出现过的数据包;
统计二元组信息一致、服务端端口不一致的所述连接标记未出现过的数据包的个数,得到统计数据;
采用惰性机制对所有的统计数据进行检测,在任一所述统计数据超过阈值时,进行告警。
2.根据权利要求1所述的检测方法,其特征在于,确定每个所述数据包的连接标记的步骤包括:
针对每个所述数据包,根据网络协议进行解析,得到所述数据包的四元组信息;其中,所述四元组信息包括:客户端IP地址、客户端端口、服务端IP地址和服务端端口;
基于所述四元组信息标记所述数据包的连接,确定所述数据包的连接标记;其中,四元组信息一致的数据包对应同一连接。
3.根据权利要求1所述的检测方法,其特征在于,采用惰性机制对所有的统计数据进行检测的步骤包括:
在达到预设周期时,对所有的统计数据进行检测。
4.根据权利要求1所述的检测方法,其特征在于,在判断每个所述数据包的连接标记是否已经出现过之后,还包括:
将连接标记出现过的数据包进行删除操作。
5.一种针对主机端口扫描行为的检测装置,其特征在于,包括:
获取模块,用于获取交换机的网络流量,并对所述网络流量进行镜像处理,得到镜像流量;其中,所述镜像流量包括至少一个数据包;
确定模块,用于确定每个所述数据包的连接标记;
判断模块,用于判断每个所述数据包的连接标记是否已经出现过;
采集模块,用于采集连接标记未出现过的数据包的特征;其中,所述特征包括:客户端IP地址、服务端IP地址和服务端端口;
标记模块,用于将所述客户端IP地址和所述服务端IP地址作为二元组信息标记所述连接标记未出现过的数据包;
统计模块,用于统计二元组信息一致、服务端端口不一致的所述连接标记未出现过的数据包的个数,得到统计数据;
检测模块,用于采用惰性机制对所有的统计数据进行检测,在任一所述统计数据超过阈值时,进行告警。
6.根据权利要求5所述的检测装置,其特征在于,确定模块包括:
解析单元,用于针对每个所述数据包,根据网络协议进行解析,得到所述数据包的四元组信息;其中,所述四元组信息包括:客户端IP地址、客户端端口、服务端IP地址和服务端端口;
确定单元,用于基于所述四元组信息标记所述数据包的连接,确定所述数据包的连接标记;其中,四元组信息一致的数据包对应同一连接。
7.根据权利要求5所述的检测装置,其特征在于,检测模块包括:
检测单元,用于在达到预设周期时,对所有的统计数据进行检测。
8.根据权利要求5所述的检测装置,其特征在于,还包括:
删除模块,用于将连接标记出现过的数据包进行删除操作。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现如权利要求1至4任一项所述的方法。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行如权利要求1至4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911020509.1A CN110750785B (zh) | 2019-10-24 | 2019-10-24 | 针对主机端口扫描行为的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911020509.1A CN110750785B (zh) | 2019-10-24 | 2019-10-24 | 针对主机端口扫描行为的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110750785A true CN110750785A (zh) | 2020-02-04 |
| CN110750785B CN110750785B (zh) | 2022-03-11 |
Family
ID=69279826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911020509.1A Active CN110750785B (zh) | 2019-10-24 | 2019-10-24 | 针对主机端口扫描行为的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110750785B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112526955A (zh) * | 2021-02-10 | 2021-03-19 | 北京安帝科技有限公司 | 一种dcs流量的处理方法以及装置 |
| CN112822063A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 通过被动网络行为探测实现物联网终端网络指纹测绘设计 |
| CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
| CN113872931A (zh) * | 2021-08-19 | 2021-12-31 | 深圳市珍爱捷云信息技术有限公司 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
| CN114697389A (zh) * | 2022-03-16 | 2022-07-01 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719906A (zh) * | 2009-11-10 | 2010-06-02 | 电子科技大学 | 一种基于蠕虫传播行为的蠕虫检测方法 |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
| CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
| CN109309679A (zh) * | 2018-09-30 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于tcp流状态的网络扫描检测方法及检测系统 |
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
| CN109768949A (zh) * | 2017-11-09 | 2019-05-17 | 阿里巴巴集团控股有限公司 | 一种端口扫描处理系统、方法及相关装置 |
-
2019
- 2019-10-24 CN CN201911020509.1A patent/CN110750785B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719906A (zh) * | 2009-11-10 | 2010-06-02 | 电子科技大学 | 一种基于蠕虫传播行为的蠕虫检测方法 |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
| CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
| CN109768949A (zh) * | 2017-11-09 | 2019-05-17 | 阿里巴巴集团控股有限公司 | 一种端口扫描处理系统、方法及相关装置 |
| CN109309679A (zh) * | 2018-09-30 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于tcp流状态的网络扫描检测方法及检测系统 |
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822063A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 通过被动网络行为探测实现物联网终端网络指纹测绘设计 |
| CN112526955A (zh) * | 2021-02-10 | 2021-03-19 | 北京安帝科技有限公司 | 一种dcs流量的处理方法以及装置 |
| CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
| CN113364804B (zh) * | 2021-06-29 | 2022-11-15 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
| CN113872931A (zh) * | 2021-08-19 | 2021-12-31 | 深圳市珍爱捷云信息技术有限公司 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
| CN113872931B (zh) * | 2021-08-19 | 2023-10-10 | 深圳市珍爱捷云信息技术有限公司 | 一种端口扫描行为的检测方法及系统、服务器、代理节点 |
| CN114697389A (zh) * | 2022-03-16 | 2022-07-01 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
| CN114697389B (zh) * | 2022-03-16 | 2024-06-11 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110750785B (zh) | 2022-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110750785B (zh) | 针对主机端口扫描行为的检测方法及装置 | |
| CN108040074B (zh) | 一种基于大数据的实时网络异常行为检测系统及方法 | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN103795709A (zh) | 一种网络安全检测方法和系统 | |
| JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| CA2977807C (en) | Technique for detecting suspicious electronic messages | |
| US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
| CN106330584A (zh) | 一种业务流的识别方法及识别装置 | |
| CN113114694A (zh) | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 | |
| CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| CN111628900A (zh) | 基于网络协议的模糊测试方法、装置和计算机可读介质 | |
| Kaushik et al. | Network forensic system for ICMP attacks | |
| CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
| KR100608541B1 (ko) | 샘플링과 시그너쳐 검색 기능을 구비한 인터넷 프로토콜패킷 수집 장치 및 그 방법 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
| WO2020158896A1 (ja) | 通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |