CN111447218B - 一种tcp端口扫描的检测方法 - Google Patents

一种tcp端口扫描的检测方法 Download PDF

Info

Publication number
CN111447218B
CN111447218B CN202010219855.9A CN202010219855A CN111447218B CN 111447218 B CN111447218 B CN 111447218B CN 202010219855 A CN202010219855 A CN 202010219855A CN 111447218 B CN111447218 B CN 111447218B
Authority
CN
China
Prior art keywords
port scanning
tcp port
rst
message
tcp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010219855.9A
Other languages
English (en)
Other versions
CN111447218A (zh
Inventor
王小东
肖俊杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Tiandihexing Technology Co Ltd
Original Assignee
Beijing Tiandihexing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Tiandihexing Technology Co Ltd filed Critical Beijing Tiandihexing Technology Co Ltd
Priority to CN202010219855.9A priority Critical patent/CN111447218B/zh
Publication of CN111447218A publication Critical patent/CN111447218A/zh
Application granted granted Critical
Publication of CN111447218B publication Critical patent/CN111447218B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明实施例公开了一种TCP端口扫描的检测方法,包括以下步骤,网络安全设备通过发射模块向工业控制系统的TCP端口发送RST数据包,在待确定的端口扫描报文中识别出RAT报文,并对RST报文出现速率进行监控和统计;所述网络安全设备通过参数配置模块对预设参数a进行自动配置;所述处理模块通过将最近1秒内统计的RST报文数bn与前1秒的预设参数an‑1进行对比,若bn大于an‑1,则确认发生了TCP端口扫描行为;若bn小于等于an‑1,则认为工业控制系统正常,未出现TCP端口扫描行为。本发明实施例提供一种TCP端口扫描的检测方法,以解决现有技术中由于预设参数不准确而导致的正常的会话新建行为判断为扫描行为或备因为无法处理TCP连接而导致系统异常的问题。

Description

一种TCP端口扫描的检测方法
技术领域
本发明实施例涉及工业以太网检测技术领域,具体涉及一种TCP端口扫描的检测方法。
背景技术
随着信息技术的发展,工业控制系统逐步走向联网化。很多工业控制协议逐渐运行于工业以太网上,针对工业控制系统的网络攻击也更加普遍。网络攻击的第一步是进行信息收集。端口扫描作为一种常用的信息收集手段,它能帮助发现目标机的某些内在的弱点,一个好的扫描器能对它得到的数据进行分析,帮助查找目标机的安全漏洞。
工业控制环境下的各种设备系统更新缓慢,更容易通过端口扫描发现系统漏洞。因此通过发现端口扫描行为,能够预先防止后续的攻击。工业控制环境的设备由于性能较低,TCP连接处理能力较差,因此需要研究适合于工业控制环境的TCP端口扫描检测方法。
现有技术中,扫描器在进行TCP端口扫描时,会发送大量的syn数据包,大部分安全设备会根据syn报文的新建速率来判断是否发生TCP端口扫描行为,当syn新建报文速率大于预设参数时,即认为发生了TCP端口扫描行为。但是工业控制环境下,设备TCP会话多是长连接会话,经常是同一连接完成多项任务。例如Modbus协议,多数操作都是通过同一会话完成,只有在会话出现中断的情况下,才会新建TCP会话,工业环境下会话一般比较稳定,新建会话比较少。因此这就导致通过syn新建报文速率判断端口扫描行为容易出现问题。若预设参数设置的太小,很容易导致正常的会话新建行为判断为扫描行为;若预设参数设置的太大,则可能放过太多的TCP扫描报文,导致设备因为无法处理TCP连接而导致系统异常。因此,需要找到一种可以自适应选择合适预设参数的TCP端口扫描检测方法,在方便管理的同时,尽早检测出TCP端口扫描行为。
发明内容
为此,本发明实施例提供一种TCP端口扫描的检测方法,以解决现有技术中由于预设参数不准确而导致的正常的会话新建行为判断为扫描行为或备因为无法处理TCP连接而导致系统异常的问题。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例公开的一种TCP端口扫描的检测方法,包括以下步骤:
S1、网络安全设备通过发射模块向工业控制系统的TCP端口发送RST数据包;
S2、所述网络安全设备通过监控模块过滤出待确定的端口扫描报文,根据TCP报文中RST报文的特性,在待确定的端口扫描报文中识别出RAT报文,并对RST报文出现速率进行监控和统计;
S3、所述网络安全设备通过参数配置模块对预设参数a进行自动配置,统计最近1S内的RST报文数为b;设置初始预设参数a0为5、b0为0,当监控模块未检测RST报文时,预定义参数an=10+0.8*an-1+0.2*bn-1;当监控模块检测到RST报文时,预定义参数an=an-1,当管理人员处理端口扫描事件后,再重新采样进行预设参数的估计;
S4、所述网络安全设备通过处理模块对端口扫描行为检测,所述处理模块通过将最近1秒内统计的RST报文数bn与前1秒的预设参数an-1进行对比,若bn大于an-1,则确认发生了TCP端口扫描行为;若bn小于等于an-1,则认为工业控制系统正常,未出现TCP端口扫描行为。
进一步地,还包括S5,当确定网络安全设备确认发生了TCP端口扫描行为,则通过报警模块生成报警信息并通知管理人员。
进一步地,所述网络安全设备选用扫描器。
进一步地,:所述网络安全设备开始运行的一段时间内进行预设参数的学习,之后再进行端口扫描行为的检测,所述预设参数的学习时间不少于半小时。
本发明实施例具有如下优点:
本发明应用于工业控制系统中,由于工业控制系统的环境封闭、稳定、人为操作因素少,因此工业控制系统出现RST报文的概率小,进而通过监控工业控制系统RST报文出现速率来检测TCP端口扫描行为;该TCP端口扫描检测方法,通过系统自动进行参数自定义,避免了人为定义的参数不准确而影响检测结果。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例提供的一种TCP端口扫描的检测方法的流程图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
结合图1所示,本发明专利公开了一种TCP端口扫描的检测方法,包括以下步骤:
S1、网络安全设备通过发射模块向工业控制系统的TCP端口发送RST数据包。在工业控制系统的稳定环境下,人为操作因素少,故系统中出现RST的报文概率小,RST报文更能体现系统中异常,通过对RAT报文监控可以更准确地检测端口扫描行为。
S2、所述网络安全设备通过监控模块过滤出待确定的端口扫描报文,根据TCP报文中RST报文的特性,在待确定的端口扫描报文中识别出RAT报文,并对RST报文出现速率进行监控和统计。
S3、所述网络安全设备通过参数配置模块对预设参数a进行自动配置,统计最近1S内的RST报文数为b;设置初始预设参数a0为5、b0为0,当监控模块在第n秒未检测RST报文时,预定义参数an=10+0.8*an-1+0.2*bn-1;当监控模块在第n秒检测到RST报文时,预定义参数an=an-1,当管理人员处理端口扫描事件后,再重新采样进行预设参数的估计。通过采纳数配置模块对工业控制系统内的RST报文进行预设参数的估计,避免用户自行对预设参数的配置过高或者过低,进而造成将正常的会话新建行为判断为扫描行为,或放过太多的TCP扫描报文,导致设备因为无法处理TCP连接而导致系统异常。
S4、所述网络安全设备通过处理模块对端口扫描行为检测,所述处理模块通过将最近1秒内统计的RST报文数bn与前1秒的预设参数an-1进行对比,若bn大于an-1,则确认发生了TCP端口扫描行为;若bn小于等于an-1,则认为工业控制系统正常,未出现TCP端口扫描行为。
还包括S5,当确定网络安全设备确认发生了TCP端口扫描行为,则通过报警模块生成报警信息并通知管理人员。
网络安全设备开始运行的一段时间内进行预设参数的学习,之后再进行端口扫描行为的检测,所述预设参数的学习时间不少于半小时。
TCP端口就是为TCP协议通信提供服务的端口。TCP(Transmission ControlProtocol),TCP是一种面向连接(连接导向)的、可靠的、基于字节流运输层(Transportlayer)通信协议
SYN(Synchronize Sequence Numbers):同步序列号
RST(Reset the connection):表示重置连接、复位连接。当你发的报文段到目的地址发生错误时,会返回一个复位报文段。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (4)

1.一种TCP端口扫描的检测方法,其特征在于:包括以下步骤:
S1、网络安全设备通过发射模块向工业控制系统的TCP端口发送RST数据包;
S2、所述网络安全设备通过监控模块过滤出待确定的端口扫描报文,根据TCP报文中RST报文的特性,在待确定的端口扫描报文中识别出RST报文,并对RST报文出现速率进行监控和统计;
S3、所述网络安全设备通过参数配置模块对预设参数a进行自动配置,统计最近1S内的RST报文数为b;设置初始预设参数a0为5、b0为0,当监控模块未检测RST报文时,预定义参数an=10+0.8*an-1+0.2*bn-1;当监控模块检测到RST报文时,预定义参数an=an-1,当管理人员处理端口扫描事件后,再重新采样进行预设参数的估计;
S4、所述网络安全设备通过处理模块对端口扫描行为检测,所述处理模块通过将最近1秒内统计的RST报文数bn与前1秒的预设参数an-1进行对比,若bn大于an-1,则确认发生了TCP端口扫描行为;若bn小于等于an-1,则认为工业控制系统正常,未出现TCP端口扫描行为。
2.根据权利要求1所述的一种TCP端口扫描的检测方法,其特征在于:还包括S5,当确定网络安全设备确认发生了TCP端口扫描行为,则通过报警模块生成报警信息并通知管理人员。
3.根据权利要求1所述的一种TCP端口扫描的检测方法,其特征在于:所述网络安全设备选用扫描器。
4.根据权利要求1所述的一种TCP端口扫描的检测方法,其特征在于:所述网络安全设备开始运行的一段时间内进行预设参数的学习,之后再进行端口扫描行为的检测,所述预设参数的学习时间不少于半小时。
CN202010219855.9A 2020-03-25 2020-03-25 一种tcp端口扫描的检测方法 Active CN111447218B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010219855.9A CN111447218B (zh) 2020-03-25 2020-03-25 一种tcp端口扫描的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010219855.9A CN111447218B (zh) 2020-03-25 2020-03-25 一种tcp端口扫描的检测方法

Publications (2)

Publication Number Publication Date
CN111447218A CN111447218A (zh) 2020-07-24
CN111447218B true CN111447218B (zh) 2022-08-05

Family

ID=71652528

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010219855.9A Active CN111447218B (zh) 2020-03-25 2020-03-25 一种tcp端口扫描的检测方法

Country Status (1)

Country Link
CN (1) CN111447218B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113645256B (zh) * 2021-10-13 2021-12-28 成都数默科技有限公司 一种不降低tcp会话数据价值密度的聚合方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101668006A (zh) * 2009-10-12 2010-03-10 哈尔滨工程大学 一种用于异常检测的自适应网络流量采样方法
CN103561048A (zh) * 2013-09-02 2014-02-05 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置
WO2015027523A1 (zh) * 2013-09-02 2015-03-05 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101668006A (zh) * 2009-10-12 2010-03-10 哈尔滨工程大学 一种用于异常检测的自适应网络流量采样方法
CN103561048A (zh) * 2013-09-02 2014-02-05 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置
WO2015027523A1 (zh) * 2013-09-02 2015-03-05 北京东土科技股份有限公司 一种确定tcp端口扫描的方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
《Internet Protocol Identification Number based Ideal Stealth Port Scan Detection using Snort》;Satyendra Kumar Patel,et.al;《2016 8th International Conference on Computational Intelligence and Communication Networks》;20161231;全文 *
一种改进的端口扫描器的设计与实现;李继容等;《计算机测量与控制》;20100725(第07期);全文 *
网络端口扫描程序;杭州山猫;《中文信息》;20030601(第06期);全文 *

Also Published As

Publication number Publication date
CN111447218A (zh) 2020-07-24

Similar Documents

Publication Publication Date Title
US11277431B2 (en) Comprehensive risk assessment
EP3750279B1 (en) Enhanced device updating
US11250687B2 (en) Network jamming detection and remediation
US10291506B2 (en) Anomaly detection in industrial communications networks
US6654782B1 (en) Modular framework for dynamically processing network events using action sets in a distributed computing environment
CN1514625A (zh) 检测网络攻击
CN103078752A (zh) 一种检测邮件攻击的方法、装置及设备
CA2319303A1 (en) Carrier-grade snmp interface for fault monitoring
CN103561048A (zh) 一种确定tcp端口扫描的方法及装置
CN108471369B (zh) 一种网络拨号方法、装置及存储介质
EP2200249A1 (en) Network analysis
US20080109568A1 (en) Method and System for Detecting Device Configuration Changes
WO2007072157A2 (en) System and method for detecting network-based attacks on electronic devices
CN111884879A (zh) 一种网络检测方法、装置以及相关设备
CN111447218B (zh) 一种tcp端口扫描的检测方法
WO2002013486A2 (en) System and method for processing network accounting information
CN111628994A (zh) 一种工控环境的异常检测方法、系统及相关装置
CN110855711A (zh) 一种基于scada系统白名单矩阵的工控网络安全监控方法
US7558216B2 (en) Network connection control
WO2020132949A1 (zh) 用于工业控制系统的监测方法、装置、系统和计算机可读介质
CN109889470B (zh) 一种基于路由器防御DDoS攻击的方法和系统
US11700271B2 (en) Device and method for anomaly detection in a communications network
CN112822211B (zh) 电力工控便携式自学习工业防火墙系统、装置及使用方法
CN111343167B (zh) 一种基于网络的信息处理方法及电子设备
Kumar et al. Using Jpcap API to monitor, analyze, and report network traffic for DDoS attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant