CN111478925B - 应用于工业控制环境的端口扫描检测方法、系统 - Google Patents
应用于工业控制环境的端口扫描检测方法、系统 Download PDFInfo
- Publication number
- CN111478925B CN111478925B CN202010435394.9A CN202010435394A CN111478925B CN 111478925 B CN111478925 B CN 111478925B CN 202010435394 A CN202010435394 A CN 202010435394A CN 111478925 B CN111478925 B CN 111478925B
- Authority
- CN
- China
- Prior art keywords
- port connection
- port
- mac address
- destination
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种应用于工业控制环境的端口扫描检测方法、系统,该方法包括:抓取工业控制网络中的网络报文;提取带有SYN标志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址;利用源IP、源MAC地址、目的IP、目的端口和目的MAC地址构建每台设备的端口连接;判断学习期是否结束;如果学习期没有结束,则将构建得到的当前设备的端口连接记录为合法端口连接;如果学习期结束,则将当前设备的端口连接与合法端口连接进行匹配;如果当前设备的端口连接与合法端口连接匹配不成功,则判定当前设备存在端口扫描攻击行为,并将当前设备的端口连接记录为可疑端口连接。本发明能够有效监测和发现长周期的慢扫描攻击行为。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种应用于工业控制环境的端口扫描检测方法、系统。
背景技术
随着工业技术的发展,工业控制网络化和智能化表现地更加突出,为了提高工业的生产效率,主要通过网络对工业设备进行远程控制和智能化生产,因此网络在工业生产中发挥了重要的作用。但是,在工业控制环境中,恶意设备对工业控制环境中的设备进行端口扫描攻击,成为了工业正常生产的隐患,给工业生产过程带来了重大的威胁。因此,对端口扫描行为监测,并及时准确地发现恶意攻击设备,有利于保护工业控制环境的正常生产。目前的端口扫描攻击行为监测方法主要采用以下两种:
(1)端口扫描本质上涉及传输层的TCP和UDP协议,主要集中采用半开放扫描、connect()扫描、TCP Null、FIN、Xmas扫描、TCP ACK、TCP窗口扫描、定制的TCP扫描、FTP弹跳扫描等方式对工业控制环境中的设备进行端口扫描。通过这些特点,可以采用对网络报文的特征和行为匹配方式进行监测。由于通过特征和行为匹配的方式,存在特征库完备性问题,同时监测长周期的慢扫描攻击行为,采用这种方法容易也存在大量误报的问题;
(2)采用统计网络中的流量变化来发现扫描攻击行为,但是这种统计流量的方式只能发现短周期的快扫描攻击行为,不能有效监测长周期的慢扫描攻击行为,存在端口扫描监测的局限性。
发明内容
本发明的目的在于提供一种应用于工业控制环境的端口扫描检测方法、系统,能够有效监测和发现长周期的慢扫描攻击行为。
为解决上述技术问题,本发明采用的一个技术方案是:提供一种应用于工业控制环境的端口扫描检测方法,包括以下步骤:S1:抓取工业控制网络中的网络报文;S2:提取网络报文中带有SYN标志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址;S3:利用所述源IP、源MAC地址、目的IP、目的端口和目的MAC地址构建工业控制网络中每台设备的端口连接,所述端口连接包括源IP、源MAC地址及其对应请求的目的IP、目的MAC地址、目的端口;S4:判断学习期是否结束,其中,所述学习期是预先设置的;S5:如果学习期没有结束,则将构建得到的当前设备的端口连接记录为合法端口连接;S6:如果学习期结束,则将当前设备的端口连接与合法端口连接进行匹配;S7:如果当前设备的端口连接与合法端口连接匹配不成功,则判定当前设备存在端口扫描攻击行为,并将当前设备的端口连接记录为可疑端口连接。
优选的,所述步骤S6具体包括:S61:如果学习期结束,则统计学习期内当前设备的端口连接的数量;S62:判断扫描检测周期是否开始,如果没有开始则等待扫描检测周期开始,如果开始则进行步骤S63;S63:判断当前设备的端口连接的数量与已统计的端口连接的数量是否相同,如果不相同,则进行步骤S64,如果相同,则将下一个设备作为当前设备,并重复进行步骤S61;S64:判断当前设备的端口连接的源IP、源MAC地址是否存在于合法端口连接中,如果存在,则进行步骤S65,如果不存在,则进行步骤S66;S65:判断源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口是否存在于合法端口连接中,如果不存在,则进行步骤S66;S66:判定当前设备的端口连接与合法端口连接匹配不成功。
优选的,所述步骤S5具体包括:S51:如果学习期没有结束,则判断当前设备的端口连接是否已经记录,如果没有记录,则进行步骤S52;如果有记录,则进行步骤S53;S52:将当前设备的端口连接记录为合法端口连接;S53:为当前设备的端口连接设置第一标识符。
优选的,所述步骤S61具体包括:如果学习期结束,则判断当前设备的端口连接是否已经记录,如果没有记录,则进行步骤S612;如果有记录,则进行步骤S613;S612:将当前设备的端口连接进行记录;S613:为当前设备的端口连接设置第二标识符;S614:统计学习期内当前设备的端口连接的数量。
优选的,所述合法端口连接以哈希桶的方式存储,源IP、源MAC地址作为哈希桶的key值,源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口作为哈希桶的list值。
为解决上述技术问题,本发明采用的另一个技术方案是:提供一种应用于工业控制环境的端口扫描检测系统,所述端口扫描检测系统包括报文采集模块、报文解析模块、端口连接构建模块、时钟模块、端口连接记录模块、端口连接监测模块和判定模块;所述报文采集模块用于抓取工业控制网络中的网络报文;所述报文解析模块用于提取网络报文中带有SYN标志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址;所述端口连接构建模块用于利用所述源IP、源MAC地址、目的IP、目的端口和目的MAC地址构建工业控制网络中每台设备的端口连接,所述端口连接包括源IP、源MAC地址及其对应请求的目的IP、目的MAC地址、目的端口;所述时钟模块用于判断学习期是否结束,其中,所述学习期是预先设置的;所述端口连接记录模块用于在时钟模块判断为学习期没有结束时,将构建得到的当前设备的端口连接记录为合法端口连接;所述端口连接监测模块用于在时钟模块判断为学习期结束时,将当前设备的端口连接与合法端口连接进行匹配;所述判定模块用于在当前设备的端口连接与合法端口连接匹配不成功时,判定当前设备存在端口扫描攻击行为,并将当前设备的端口连接记录为可疑端口连接。
优选的,所述端口连接监测模块包括数量统计单元、周期识别单元、数量对比单元、第一监测单元、第二监测单元和判定单元;所述数量统计单元用于在时钟模块判断为学习期结束时,统计学习期内当前设备的端口连接的数量;所述周期识别单元用于判断扫描检测周期是否开始;所述数量对比单元用于在周期识别单元判断为扫描检测周期开始时,判断当前设备的端口连接的数量与已统计的端口连接的数量是否相同;所述第一监测单元用于在数量对比单元判断为数量不相同时,判断当前设备的端口连接的源IP、源MAC地址是否存在于合法端口连接中;所述第二监测单元用于在第一监测单元判断为存在于合法端口连接中时,判断源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口是否存在于合法端口连接中;所述判定单元用于在第一监测单元判断为不存在合法端口连接中或者第二监测单元判断为不存在于合法端口连接中时,判定当前设备的端口连接与合法端口连接匹配不成功;所述数量统计单元还用于在数量对比单元判断为数量相同时,将下一个设备作为当前设备。
优选的,所述端口连接记录模块包括重复识别单元和数据记录单元,所述重复识别单元用于在时钟模块判断为学习期没有结束时,判断当前设备的端口连接是否已经记录;所述数据记录单元用于在重复识别单元判断为没有记录时,将当前设备的端口连接记录为合法端口连接,在重复识别单元判断为有记录时,为当前设备的端口连接设置第一标识符。
优选的,所述数量统计单元用于在时钟模块判断为学习期结束时,判断当前设备的端口连接是否已经记录,在没有记录时,将当前设备的端口连接进行记录,在有记录时,为当前设备的端口连接设置第二标识符。
优选的,所述合法端口连接以哈希桶的方式存储,源IP、源MAC地址作为哈希桶的key值,源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口作为哈希桶的list值。
区别于现有技术的情况,本发明的有益效果是:既可以发现短周期的快扫描攻击行为,也可以发现长周期的慢扫描攻击行为,基本可以实现对所有TCP端口扫描行为的监测,可以充分、有效地发现工业控制环境中出现的各种方式端口扫描可疑行为,特别适合应用于设备服务运行规律稳定的工业控制网络环境,对工业控制有着很强的网络监测保护能力,
附图说明
图1是本发明实施例提供的应用于工业控制环境的端口扫描检测方法的流程示意图;
图2是图1所示的端口扫描检测方法的步骤S6的具体流程示意图;
图3是本发明另一实施例提供的应用于工业控制环境的端口扫描检测系统在一中应用中的拓扑示意图;
图4是图3所示的端口扫描检测系统的端口连接记录模块和端口连接监测模块的具体框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本发明实施例的应用于工业控制环境的端口扫描检测方法包括以下步骤:
S1:抓取工业控制网络中的网络报文。
其中,工业控制网络中的网络报文可以从交换机的镜像端口抓取。
S2:提取网络报文中带有SYN标志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址。
S3:利用源IP、源MAC地址、目的IP、目的端口和目的MAC地址构建工业控制网络中每台设备的端口连接,端口连接包括源IP、源MAC地址及其对应请求的目的IP、目的MAC地址、目的端口。
S4:判断学习期是否结束,其中,学习期是预先设置的。
S5:如果学习期没有结束,则将构建得到的当前设备的端口连接记录为合法端口连接。
其中,学习期可以由配置管理员根据实际需要设置,在学习期内通过自主学习的方式将所有设备的端口连接记录为合法端口连接。
S6:如果学习期结束,则将当前设备的端口连接与合法端口连接进行匹配。
S7:如果当前设备的端口连接与合法端口连接匹配不成功,则判定当前设备存在端口扫描攻击行为,并将当前设备的端口连接记录为可疑端口连接。
其中,在学习期结束后,通过将当前设备的端口连接与合法端口连接进行匹配可以确定学习期之后的构建的每一台设备的端口连接是否在已经记录的合法端口连接中能够找到,如果能够找到,则表明设备的端口连接是正常的端口访问行为,如果不能找到,则表明设备的端口连接是端口扫描攻击行为。在本实施例中,合法端口连接以哈希桶的方式存储,源IP、源MAC地址作为哈希桶的key值,源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口作为哈希桶的list值。采用哈希桶可以提高查询效率。
参阅图2,在本实施例中,步骤S6具体包括:
S61:如果学习期结束,则统计学习期内当前设备的端口连接的数量;
S62:判断扫描检测周期是否开始,如果没有开始则等待扫描检测周期开始,如果开始则进行步骤S63;
S63:判断当前设备的端口连接的数量与已统计的端口连接的数量是否相同,如果不相同,则进行步骤S64,如果相同,则将下一个设备作为当前设备,并重复进行步骤S61;
S64:判断当前设备的端口连接的源IP、源MAC地址是否存在于合法端口连接中,如果存在,则进行步骤S65,如果不存在,则进行步骤S66;
S65:判断源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口是否存在于合法端口连接中,如果不存在,则进行步骤S66;
S66:判定当前设备的端口连接与合法端口连接匹配不成功。
其中,在合法端口连接中查找当前设备的端口连接的源IP、源MAC地址或者源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口之前,先判断设备的端口连接的数量与已统计的端口连接的数量是否相同可以大幅节省资源,因为在工业控制网络中,每时每刻都产生大量的端口连接,如果不进行数量校验,直接进行合法端口连接查询,会消耗巨大的资源,造成端口扫描检测效率降低。
为了分别区分学习期之内和学习期结束后端口连接的首次出现,在本实施例中,步骤S5具体包括:S51:如果学习期没有结束,则判断当前设备的端口连接是否已经记录,如果没有记录,则进行步骤S52;如果有记录,则进行步骤S53;S52:将当前设备的端口连接记录为合法端口连接;S53:为当前设备的端口连接设置第一标识符。
步骤S61具体包括:如果学习期结束,则判断当前设备的端口连接是否已经记录,如果没有记录,则进行步骤S612;如果有记录,则进行步骤S613;S612:将当前设备的端口连接进行记录;S613:为当前设备的端口连接设置第二标识符;S614:统计学习期内当前设备的端口连接的数量。其中,步骤S61中记录的设备的端口连接既不属于合法端口连接,也不属于可疑端口连接。
其中,第一标识符和第二标识符为不同的符号或者不同的数值。例如第一标识符为0,第二标识符为1。
进一步地,为了方便对端口连接进行查询,在本实施例中,步骤S613还包括:记录当前设备的端口连接的首次发生时间;步骤S53还包括:记录当前设备的端口连接的首次发生时间。
通过上述方式,本发明实施例的应用于工业控制环境的端口扫描检测方法通过设置学习期,在学习期内记录合法端口连接,当学习期结束,监测端口连接的变化,当出现新的设备或者已经记录的设备连接了新的端口,判定该设备存在端口扫描攻击行为,从而能够有效监测和发现长周期的慢扫描攻击行为。
参阅图3,本发明又一实施例的应用于工业控制环境的端口扫描检测系统100包括报文采集模块10、报文解析模块20、端口连接构建模块30、时钟模块40、端口连接记录模块50、端口连接监测模块60和判定模块70。端口扫描检测系统100连接交换机200,工业控制设备300和工业受控设备400均通过工业以太网协议连接交换机。
报文采集模块10用于抓取工业控制网络中的网络报文。其中,工业控制网络中的网络报文可以从交换机200的镜像端口抓取。
报文解析模块20用于提取网络报文中带有SYN标志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址。
端口连接构建模块30用于利用源IP、源MAC地址、目的IP、目的端口和目的MAC地址构建工业控制网络中每台设备的端口连接,端口连接包括源IP、源MAC地址及其对应请求的目的IP、目的MAC地址、目的端口。
时钟模块40用于判断学习期是否结束,其中,学习期是预先设置的。
端口连接记录模块50用于在时钟模块40判断为学习期没有结束时,将构建得到的当前设备的端口连接记录为合法端口连接。其中,学习期可以由配置管理员根据实际需要设置,在学习期内通过自主学习的方式将所有设备的端口连接记录为合法端口连接。
端口连接监测模块60用于在时钟模块40判断为学习期结束时,将当前设备的端口连接与合法端口连接进行匹配。
判定模块70用于在当前设备的端口连接与合法端口连接匹配不成功时,判定当前设备存在端口扫描攻击行为,并将当前设备的端口连接记录为可疑端口连接。其中,在学习期结束后,通过将当前设备的端口连接与合法端口连接进行匹配可以确定学习期之后的构建的每一台设备的端口连接是否在已经记录的合法端口连接中能够找到,如果能够找到,则表明设备的端口连接是正常的端口访问行为,如果不能找到,则表明设备的端口连接是端口扫描攻击行为。在本实施例中,合法端口连接以哈希桶的方式存储,源IP、源MAC地址作为哈希桶的key值,源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口作为哈希桶的list值。采用哈希桶可以提高查询效率。
参阅图4,在本实施例中,端口连接监测模块60包括数量统计单元61、周期识别单元62、数量对比单元63、第一监测单元64、第二监测单元65和判定单元66。
数量统计单元61用于在时钟模块40判断为学习期结束时,统计学习期内当前设备的端口连接的数量。
周期识别单元62用于判断扫描检测周期是否开始。
数量对比单元63用于在周期识别单元62判断为扫描检测周期开始时,判断当前设备的端口连接的数量与已统计的端口连接的数量是否相同。
第一监测单元64用于在数量对比单元63判断为数量不相同时,判断当前设备的端口连接的源IP、源MAC地址是否存在于合法端口连接中。
第二监测单元65用于在第一监测单元64判断为存在于合法端口连接中时,判断源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口是否存在于合法端口连接中。
判定单元66用于在第一监测单元64判断为不存在合法端口连接中或者第二监测单元65判断为不存在于合法端口连接中时,判定当前设备的端口连接与合法端口连接匹配不成功。
数量统计单元61还用于在数量对比单元63判断为数量相同时,将下一个设备作为当前设备。
其中,在合法端口连接中查找当前设备的端口连接的源IP、源MAC地址或者源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口之前,先判断设备的端口连接的数量与已统计的端口连接的数量是否相同可以大幅节省资源,因为在工业控制网络中,每时每刻都产生大量的端口连接,如果不进行数量校验,直接进行合法端口连接查询,会消耗巨大的资源,造成端口扫描检测效率降低。
为了分别区分学习期之内和学习期结束后端口连接的首次出现,在本实施例中,端口连接记录模块50包括重复识别单元51和数据记录单元52,重复识别单元51用于在时钟模块40判断为学习期没有结束时,判断当前设备的端口连接是否已经记录;数据记录单元52用于在重复识别单元51判断为没有记录时,将当前设备的端口连接记录为合法端口连接,在重复识别单元51判断为有记录时,为当前设备的端口连接设置第一标识符。
数量统计单元61用于在时钟模块40判断为学习期结束时,判断当前设备的端口连接是否已经记录,在没有记录时,将当前设备的端口连接进行记录,在有记录时,为当前设备的端口连接设置第二标识符。
其中,第一标识符和第二标识符为不同的符号或者不同的数值。例如第一标识符为0,第二标识符为1。
进一步地,为了方便对端口连接进行查询,在本实施例中,数据记录单元52还用于在重复识别单元51判断为没有记录时,记录当前设备的端口连接的首次发生时间,以及数量统计单元61还用于在为当前设备的端口连接设置第二标识符时,记录当前设备的端口连接的首次发生时间。
通过上述方式,本发明的应用于工业控制环境的端口扫描检测系统通过设置学习期,在学习期内记录合法端口连接,当学习期结束,监测端口连接的变化,当出现新的设备或者已经记录的设备连接了新的端口,判定该设备存在端口扫描攻击行为,从而能够有效监测和发现长周期的慢扫描攻击行为。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种应用于工业控制环境的端口扫描检测方法,其特征在于,包括以下步骤:
S1:抓取工业控制网络中的网络报文;
S2:提取网络报文中带有SYN标志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址;
S3:利用所述源IP、源MAC地址、目的IP、目的端口和目的MAC地址构建工业控制网络中每台设备的端口连接,所述端口连接包括源IP、源MAC地址及其对应请求的目的IP、目的MAC地址、目的端口;
S4:判断学习期是否结束,其中,所述学习期是预先设置的;
S5:如果学习期没有结束,则将构建得到的当前设备的端口连接记录为合
法端口连接;
S6:如果学习期结束,则将当前设备的端口连接与合法端口连接进行匹配;
所述步骤S6具体包括:
S61:如果学习期结束,则统计学习期内当前设备的端口连接的数量;
S62:判断扫描检测周期是否开始,如果没有开始则等待扫描检测周期开始,如果开始则进行步骤S63;
S63:判断当前设备的端口连接的数量与已统计的端口连接的数量是否相同,如果不相同,则进行步骤S64,如果相同,则将下一个设备作为当前设备,并重复进行步骤S61;
S64:判断当前设备的端口连接的源IP、源MAC地址是否存在于合法端口连接中,如果存在,则进行步骤S65,如果不存在,则进行步骤S66;
S65:判断源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口是否存在于合法端口连接中,如果不存在,则进行步骤S66;
S66:判定当前设备的端口连接与合法端口连接匹配不成功;
S7:如果当前设备的端口连接与合法端口连接匹配不成功,则判定当前设备存在端口扫描攻击行为,并将当前设备的端口连接记录为可疑端口连接。
2.根据权利要求1所述的端口扫描检测方法,其特征在于,所述步骤S5具体包括:
S51:如果学习期没有结束,则判断当前设备的端口连接是否已经记录,如果没有记录,则进行步骤S52;如果有记录,则进行步骤S53;
S52:将当前设备的端口连接记录为合法端口连接;
S53:为当前设备的端口连接设置第一标识符。
3.根据权利要求1所述的端口扫描检测方法,其特征在于,所述步骤S61具体包括:
S611:如果学习期结束,则判断当前设备的端口连接是否已经记录,如果没有记录,则进行步骤S612;如果有记录,则进行步骤S613;
S612:将当前设备的端口连接进行记录;
S613:为当前设备的端口连接设置第二标识符;
S614:统计学习期内当前设备的端口连接的数量。
4.根据权利要求1所述的端口扫描检测方法,其特征在于,所述合法端口连接以哈希桶的方式存储,源IP、源MAC地址作为哈希桶的key值,源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口作为哈希桶的list值。
5.一种应用于工业控制环境的端口扫描检测系统,其特征在于,所述端口扫描检测系统包括报文采集模块、报文解析模块、端口连接构建模块、时钟模块、端口连接记录模块、端口连接监测模块和判定模块;
所述报文采集模块用于抓取工业控制网络中的网络报文;
所述报文解析模块用于提取网络报文中带有SYN标志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址;
所述端口连接构建模块用于利用所述源IP、源MAC地址、目的IP、目的端口和目的MAC地址构建工业控制网络中每台设备的端口连接,所述端口连接包括源IP、源MAC地址及其对应请求的目的IP、目的MAC地址、目的端口;
所述时钟模块用于判断学习期是否结束,其中,所述学习期是预先设置的;
所述端口连接记录模块用于在时钟模块判断为学习期没有结束时,将构建得到的当前设备的端口连接记录为合法端口连接;
所述端口连接监测模块用于在时钟模块判断为学习期结束时,将当前设备的端口连接与合法端口连接进行匹配;
所述端口连接监测模块包括数量统计单元、周期识别单元、数量对比单元、第一监测单元、第二监测单元和判定单元;
所述数量统计单元用于在时钟模块判断为学习期结束时,统计学习期内当前设备的端口连接的数量;
所述周期识别单元用于判断扫描检测周期是否开始;
所述数量对比单元用于在周期识别单元判断为扫描检测周期开始时,判断当前设备的端口连接的数量与已统计的端口连接的数量是否相同;
所述第一监测单元用于在数量对比单元判断为数量不相同时,判断当前设备的端口连接的源IP、源MAC地址是否存在于合法端口连接中;
所述第二监测单元用于在第一监测单元判断为存在于合法端口连接中时,判断源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口是否存在于合法端口连接中;
所述判定单元用于在第一监测单元判断为不存在合法端口连接中或者第二监测单元判断为不存在于合法端口连接中时,判定当前设备的端口连接与合法端口连接匹配不成功;
所述数量统计单元还用于在数量对比单元判断为数量相同时,将下一个设备作为当前设备;
所述判定模块用于在当前设备的端口连接与合法端口连接匹配不成功时,判定当前设备存在端口扫描攻击行为,并将当前设备的端口连接记录为可疑端口连接。
6.根据权利要求5所述的端口扫描检测系统,其特征在于,所述端口连接记录模块包括重复识别单元和数据记录单元,所述重复识别单元用于在时钟模块判断为学习期没有结束时,判断当前设备的端口连接是否已经记录;
所述数据记录单元用于在重复识别单元判断为没有记录时,将当前设备的端口连接记录为合法端口连接,在重复识别单元判断为有记录时,为当前设备的端口连接设置第一标识符。
7.根据权利要求5所述的端口扫描检测系统,其特征在于,所述数量统计单元用于在时钟模块判断为学习期结束时,判断当前设备的端口连接是否已经记录,在没有记录时,将当前设备的端口连接进行记录,在有记录时,为当前设备的端口连接设置第二标识符。
8.根据权利要求5所述的端口扫描检测系统,其特征在于,所述合法端口连接以哈希桶的方式存储,源IP、源MAC地址作为哈希桶的key值,源IP、源MAC地址对应请求的目的IP、目的MAC地址、目的端口作为哈希桶的list值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010435394.9A CN111478925B (zh) | 2020-05-21 | 2020-05-21 | 应用于工业控制环境的端口扫描检测方法、系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010435394.9A CN111478925B (zh) | 2020-05-21 | 2020-05-21 | 应用于工业控制环境的端口扫描检测方法、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111478925A CN111478925A (zh) | 2020-07-31 |
| CN111478925B true CN111478925B (zh) | 2022-12-06 |
Family
ID=71763354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010435394.9A Active CN111478925B (zh) | 2020-05-21 | 2020-05-21 | 应用于工业控制环境的端口扫描检测方法、系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111478925B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112187775B (zh) * | 2020-09-23 | 2021-09-03 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
| CN113141376B (zh) * | 2021-05-08 | 2023-06-27 | 四川英得赛克科技有限公司 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902349A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN107181829A (zh) * | 2016-03-10 | 2017-09-19 | 北京神州泰岳软件股份有限公司 | 一种监测ip地址状态的方法和装置 |
| CN107733878A (zh) * | 2017-09-29 | 2018-02-23 | 国网甘肃省电力公司电力科学研究院 | 一种工业控制系统的安全防护装置 |
| CN109995796A (zh) * | 2019-04-29 | 2019-07-09 | 北京京航计算通讯研究所 | 工控系统终端安全防护方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10812526B2 (en) * | 2017-04-24 | 2020-10-20 | Caligo Systems Ltd. | Moving target defense for securing internet of things (IoT) |
-
2020
- 2020-05-21 CN CN202010435394.9A patent/CN111478925B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902349A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和系统 |
| CN107181829A (zh) * | 2016-03-10 | 2017-09-19 | 北京神州泰岳软件股份有限公司 | 一种监测ip地址状态的方法和装置 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN107733878A (zh) * | 2017-09-29 | 2018-02-23 | 国网甘肃省电力公司电力科学研究院 | 一种工业控制系统的安全防护装置 |
| CN109995796A (zh) * | 2019-04-29 | 2019-07-09 | 北京京航计算通讯研究所 | 工控系统终端安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111478925A (zh) | 2020-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
| US8006304B2 (en) | System and method for ARP anti-spoofing security | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN112260861A (zh) | 一种基于流量感知的网络资产拓扑识别方法 | |
| EP2661049B1 (en) | System and method for malware detection | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN111683097B (zh) | 一种基于两级架构的云网络流量监控系统 | |
| CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及系统 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| CN111478925B (zh) | 应用于工业控制环境的端口扫描检测方法、系统 | |
| CN113098878B (zh) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 | |
| CN112270346B (zh) | 基于半监督学习的物联网设备识别方法及装置 | |
| CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
| CN112953928A (zh) | 一种视频监控前端设备的网络安全防护系统和方法 | |
| US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| CN112235161A (zh) | 一种基于fsm的摄像头网络协议模糊测试方法 | |
| CN114189348A (zh) | 一种适用于工控网络环境的资产识别方法 | |
| CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
| CN111565196B (zh) | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 | |
| CN111181969B (zh) | 一种基于自发流量的物联网设备识别方法 | |
| CN109309679A (zh) | 一种基于tcp流状态的网络扫描检测方法及检测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 1101, 11 / F, unit 2, building 1, No. 777, north section of Yizhou Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu 610041 Applicant after: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd. Address before: No.1, 3 / F, building 1, No.366, Hupan Road north section, Tianfu New District, Chengdu, Sichuan 610041 Applicant before: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |