CN111800391A - 端口扫描攻击的检测方法、装置、电子设备及存储介质 - Google Patents
端口扫描攻击的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111800391A CN111800391A CN202010540102.8A CN202010540102A CN111800391A CN 111800391 A CN111800391 A CN 111800391A CN 202010540102 A CN202010540102 A CN 202010540102A CN 111800391 A CN111800391 A CN 111800391A
- Authority
- CN
- China
- Prior art keywords
- dns
- source
- session data
- data
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/25—Fusion techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computational Mathematics (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Mathematical Optimization (AREA)
- Computer Networks & Wireless Communication (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Analysis (AREA)
- Evolutionary Biology (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Algebra (AREA)
- Evolutionary Computation (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种端口扫描攻击的检测方法、装置、电子设备及存储介质,用以解决现有的端口扫描攻击的检测方法分析数量巨大、误报率高及资源消耗大的问题。该方法包括:采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;对DNS流量数据归并融合,形成DNS会话数据;对非DNS流量数据归并融合,形成非DNS会话数据;将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;采用算法分析所述完整的会话数据,判定疑似端口扫描攻击;采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种端口扫描攻击的检测方法、装置、电子设备及存储介质。
背景技术
随着计算机技术的发展与普及,计算机应用已经全面渗透到人们的工作与生活中,成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。
端口扫描攻击是指攻击者利用扫描目标主机的服务端口和端口相关信息,了解目标主机的网络服务类型,寻找目标主机的攻击弱点。端口扫描攻击包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。目前,端口扫描攻击检测方法存在以下几个特点:1)对单一流量进行端口扫描检测,将采集的流量信息汇总,提取流量特征进行检测分析。2)建立流量数据的基线参考区间,当流量数据处于该区间之外时,触发启动相应警报。3)基于机器学习的端口扫描检测方法,使用大量正常流量与端口扫描流量,在设定约束条件利用神经网络进行学习训练,然后再进行分类。
现有的大部分的端口扫描攻击方法都是对采集的单一流量进行检测分析,未对流量数据进行归并融合,导致其数据分析量巨大;大部分检测使用设定静态基线的方法,但由于检测环境影响基线的因素较多,往往误报率较高;使用机器学习的方法对采集的流量进行学习训练,误报率低但资源消耗极大。
发明内容
本发明实施例提供了一种端口扫描攻击的检测方法、装置、电子设备及存储介质,用以解决现有的端口扫描攻击的检测方法分析数量巨大、误报率高及资源消耗大的问题。
基于上述问题,本发明实施例提供的一种端口扫描攻击的检测方法,包括:
采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;对DNS流量数据归并融合,形成DNS会话数据;对非DNS流量数据归并融合,形成非DNS会话数据;将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;采用算法分析所述完整的会话数据,判定疑似端口扫描攻击;采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP。
进一步地,对DNS流量数据归并融合,形成DNS会话数据,具体为:提取DNS流量数据中源IP、源端口、目的IP、目的端口构成DNS特征;将源端口或目的端口为53的DNS流量数据的源IP、源端口与目的IP、目的端口进行信息调换;将信息调换后的源IP、目的IP、源端口、目的端口、时间对进行归并,形成DNS会话数据。
进一步地,对非DNS流量数据归并融合,形成非DNS会话数据,具体为:提取非DNS流量数据中源IP、源端口、目的IP、目的端口及协议构成非DNS特征;根据所述非DNS特征对非DNS流量数据进行合并,形成非DNS会话数据。
进一步地,将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据,具体为:设置时限,将时限内的DNS会话数据中返回的DNS应答IP与非DNS数据中的目的IP进行关联,并将DNS会话数据和非DNS会话数据融合,形成完整的会话数据。
进一步地,采用算法分析所述完整的会话数据,判定疑似端口扫描攻击,具体为:设置分析周期,按照分析周期将完整的会话数据分成多个会话数据集合;使用Apriori算法对每个所述集合进行持续性分析,以源IP-目的IP作为关联特征,计算所述集合内每个源IP的关联支持度及最小置信度;若某源IP的关联支持度大于最小置信度,则该源IP具有持续性,判定为疑似端口扫描攻击。
进一步地,采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP,具体为:将具有相同源IP的疑似端口扫描攻击对应的所述集合进行归并;计算源IP-目的端口的关联信息熵确定源IP的分散性;计算源IP-SYN标识的联合特征信息熵确定SYN标识的集中性;若源IP具有分散性,SYN标识具有集中性,则确定该IP为攻击源IP。
本发明实施例提供的一种端口扫描攻击的检测装置,包括:
采集分类单元:用于采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;DNS会话数据形成单元:用于对DNS流量数据归并融合,形成DNS会话数据;非DNS会话数据形成单元:用于对非DNS流量数据归并融合,形成非DNS会话数据;完整会话数据形成单元:用于将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;疑似攻击判定单元:用于采用算法分析所述完整的会话数据,判定疑似端口扫描攻击;攻击源判定单元:用于采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP。
进一步地,DNS会话数据形成单元,具体用于提取DNS流量数据中源IP、源端口、目的IP、目的端口构成DNS特征;将源端口或目的端口为53的DNS流量数据的源IP、源端口与目的IP、目的端口进行信息调换;将信息调换后的源IP、目的IP、源端口、目的端口、时间对进行归并,形成DNS会话数据。
进一步地,非DNS会话数据形成单元,具体用于提取非DNS流量数据中源IP、源端口、目的IP、目的端口及协议构成非DNS特征;根据所述非DNS特征对非DNS流量数据进行合并,形成非DNS会话数据。
进一步地,完整会话数据形成单元:具体用于设置时限,将时限内的DNS会话数据中返回的DNS应答IP与非DNS数据中的目的IP进行关联,并将DNS会话数据和非DNS会话数据融合,形成完整的会话数据。
进一步地,疑似攻击判定单元:具体用于设置分析周期,按照分析周期将完整的会话数据分成多个会话数据集合;使用Apriori算法对每个所述集合进行持续性分析,以源IP-目的IP作为关联特征,计算所述集合内每个源IP的关联支持度及最小置信度;若某源IP的关联支持度大于最小置信度,则该源IP具有持续性,判定为疑似端口扫描攻击。
进一步地,攻击源判定单元:具体用于将具有相同源IP的疑似端口扫描攻击对应的所述集合进行归并;计算源IP-目的端口的关联信息熵确定源IP的分散性;计算源IP-SYN标识的联合特征信息熵确定SYN标识的集中性;若源IP具有分散性,SYN标识具有集中性,则确定该IP为攻击源IP。
本发明实施例同时公开一种端口扫描攻击的检测的电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行任一前述的端口扫描攻击的检测方法。
本发明实施例提供了计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现任一前述的端口扫描攻击的检测方法。
与现有技术相比,本发明实施例提供的一种端口扫描攻击的检测方法、装置、电子设备及存储介质,至少实现了如下的有益效果:对单一流量进行数据处理,转化为完整的会话数据,极大的减少后续检测分析的计算量;同时逐步分析会话数据存在的关联特征,包括会话数据的持续性、分散性及集中性,确定会话数据中存在的端口扫描攻击,降低误报率及资源消耗,提高实时性。
附图说明
图1为本发明实施例提供的一种端口扫描攻击的检测方法的流程图;
图2为本发明实施例提供的又一种端口扫描攻击的检测方法的流程图;
图3为本发明实施例提供的一段完整会话数据图;
图4为本发明实施例提供的一种端口扫描攻击的检测装置的结构图;
图5为本发明实施例提供的电子设备的结构示意图。
具体实施方式
下面结合说明书附图,对本发明实施例提供的一种端口扫描攻击的检测方法、装置、电子设备及存储介质的具体实施方式进行说明。
本发明实施例提供的一种端口扫描攻击的检测方法,如图1所示,具体包括以下步骤:
S101、采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;
DNS(Domain name system):域名系统,因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。
S102、对DNS流量数据归并融合,形成DNS会话数据;
具体为:提取DNS流量数据中源IP、源端口、目的IP、目的端口构成DNS特征;将源端口或目的端口为53的DNS流量数据的源IP、源端口与目的IP、目的端口进行信息调换;将信息调换后的源IP、目的IP、源端口、目的端口、时间对进行归并,形成DNS会话数据。
S103、对非DNS流量数据归并融合,形成非DNS会话数据;
具体为:提取非DNS流量数据中源IP、源端口、目的IP、目的端口及协议构成非DNS特征;根据所述非DNS特征对非DNS流量数据进行合并,形成非DNS会话数据。
S104、将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;
具体为:设置时限,将时限内的DNS会话数据中返回的DNS应答IP与非DNS数据中的目的IP进行关联,并将DNS会话数据和非DNS会话数据融合,形成完整的会话数据。
S105、采用算法分析所述完整的会话数据,判定疑似端口扫描攻击;
具体为:设置分析周期,按照分析周期将完整的会话数据分成多个会话数据集合;使用Apriori算法对每个所述集合进行持续性分析,以源IP-目的IP作为关联特征,计算所述集合内每个源IP的关联支持度及最小置信度;若某源IP的关联支持度大于最小置信度,则该源IP具有持续性,判定为疑似端口扫描攻击;
Apriori算法是一种挖掘关联规则的频繁项集算法,其核心思想是通过候选集生成和情节的向下封闭检测两个阶段来挖掘频繁项集。
S106、采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP;
具体为:将具有相同源IP的疑似端口扫描攻击对应的所述集合进行归并;计算源IP-目的端口的关联信息熵确定源IP的分散性;计算源IP-SYN标识的联合特征信息熵确定SYN标识的集中性;若源IP具有分散性,SYN标识具有集中性,则确定该IP为攻击源IP。
本发明实施例对单一流量进行数据处理,转化为完整的会话数据,极大的较少后续检测分析的计算量;同时逐步分析会话数据存在的关联特征,包括会话数据的持续性、分散性及集中性,确定会话数据中存在的端口扫描攻击,降低误报率及资源消耗,提高实时性。
本发明实施例提供的又一种端口扫描攻击的检测方法,如图2所示,具体包括以下步骤:
S201、采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;
S202、对DNS流量数据归并融合,形成DNS会话数据;
S203、对非DNS流量数据归并融合,形成非DNS会话数据;
S204、将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;本发明实施例通过采集流量数据,并经过S201-S204,形成的完整的会话数据,如图3所示。
S205、设置分析周期,按照分析周期将完整的会话数据分成多个会话数据集合;
其中可以设置检测周期为10分钟,分析周期设置为2分钟,而具体的检测周期和分析周期可根据需求设置。
S206、使用Apriori算法对每个所述集合进行持续性分析,以源IP-目的IP作为关联特征,计算所述集合内每个源IP的关联支持度及最小置信度;
其中,每个源IP的关联支持度的计算公式为:Support(X=>Y)=P(X∪Y),关联支持度表示表示同时包含X和Y的事务占所有事务的比例,此处X和Y分别表示源IP和目的IP;
每个源IP的最小置信度的计算公式为:Confidence(X<=Y)=P(X|Y)=P(X∪Y)/P(Y),最小置信度表示同时包含X和Y的事务占包含X事务的比例,此处X和Y分别表示源IP和目的IP。
S207、比较某源IP的关联支持度与最小置信度的大小,若某源IP的关联支持度大于最小置信度,则该源IP具有持续性,判定为疑似端口扫描攻击,否则返回S206;
根据图3提供的完整会话数据,以源IP-目的IP作为关联特征,计算数据集合内每个源IP的关联支持度及最小置信度,若关联支持度小于最小置信度,则疑似为端口扫描,其计算结果如下:
源IP | 目的IP | 关联特征支持信度 | 最小置信度 | 疑似端口扫描 |
10.255.190.5 | 10.255.175.109 | 0.0339 | 0.0214 | 否 |
60.191.152.118 | 10.255.193.252 | 0.5085 | 0.6153 | 是 |
10.255.112.7 | 119.115.206.203 | 0.0508 | 0.0290 | 否 |
10.255.112.7 | 60.217.244.195 | 0.0339 | 0.0051 | 否 |
10.255.112.7 | 192.168.1.142 | 0.0169 | 0.0058 | 否 |
10.255.190.2 | 10.255.175.109 | 0.1695 | 0.1449 | 否 |
10.255.190.2 | 10.255.175.96 | 0.0508 | 0.0132 | 否 |
10.255.55.211 | 1.189.209.240 | 0.1356 | 0.0488 | 否 |
通过计算结果可知,源IP为60.191.152.118会话数据具有持续性,疑似为端口扫描攻击。
S208、将具有相同源IP的疑似端口扫描攻击对应的所述集合进行归并,确定分散性有效区间及集中性有效区间;
此处,设定分散性有效区间(0.1,0.37]及集中性有效区间(0.82,1]。
S209、计算源IP-目的端口的关联信息熵确定源IP的分散性;
S210、计算源IP-SYN标识的联合特征信息熵确定SYN标识的集中性;
SYN标识:同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。
其中,源IP-目的端口的关联信息熵、源IP-SYN标识的联合特征信息熵的计算公式均为:
其中,计算源IP-目的端口的关联信息熵时,pk表示相同源IP通讯使用不同端口的概率;计算源IP-SYN标识的联合特征信息熵时,pk表示具有相同源IP的疑似端口扫描攻击对应的所述集合中SYN标识存在的概率;
源IP:60.191.162.118为疑似进行端口扫描攻击,根据公式计算其源ip--目的端口特征关联信息熵、源ip—SYN标识联合特征信息熵:
S211、判断源IP是否具有分散性,SYN标识是否具有集中性,若源IP具有分散性,SYN标识具有集中性,则确定该IP为攻击源IP;否则,该IP非攻击源IP;
若源IP-目的端口的关联信息熵落在分散性有效区间内,则说明源IP具有分散性;若源IP-SYN标识的联合特征信息熵落在集中性有效区间内,则说明SYN标识具有集中性;
经分析可知源IP:60.191.152.118的具有分散性,SYN联合信息熵具有集中性,为端口扫描攻击源IP。
本发明实施例对单一流量数据进行处理,形成完整的会话数据,减少分析的计算量,降低端口扫描攻击的检测时间;同时挖掘会话数据中存在潜在关系,提取会话关联特征进行深度分析,降低误报率;进一步通过设置检测周期避免存储过程中的资源过度开销。
本发明实施例还提供的一种端口扫描攻击的检测装置,如图4所示,包括:
采集分类单元401:用于采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;
DNS会话数据形成单元402:用于对DNS流量数据归并融合,形成DNS会话数据;
非DNS会话数据形成单元403:用于对非DNS流量数据归并融合,形成非DNS会话数据;
完整会话数据形成单元404:用于将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;
疑似攻击判定单元405:用于采用算法分析所述完整的会话数据,判定疑似端口扫描攻击;
攻击源判定单元406:用于采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP.
进一步地,DNS会话数据形成单元402,具体用于提取DNS流量数据中源IP、源端口、目的IP、目的端口构成DNS特征;将源端口或目的端口为53的DNS流量数据的源IP、源端口与目的IP、目的端口进行信息调换;将信息调换后的源IP、目的IP、源端口、目的端口、时间对进行归并,形成DNS会话数据。
进一步地,DNS会话数据形成单元403,具体用于提取非DNS流量数据中源IP、源端口、目的IP、目的端口及协议构成非DNS特征;根据所述非DNS特征对非DNS流量数据进行合并,形成非DNS会话数据。
进一步地,完整会话数据形成单元404:具体用于设置时限,将时限内的DNS会话数据中返回的DNS应答IP与非DNS数据中的目的IP进行关联,并将DNS会话数据和非DNS会话数据融合,形成完整的会话数据。
进一步地,疑似攻击判定单元405:具体用于设置分析周期,按照分析周期将完整的会话数据分成多个会话数据集合;使用Apriori算法对每个所述集合进行持续性分析,以源IP-目的IP作为关联特征,计算所述集合内每个源IP的关联支持度及最小置信度;若某源IP的关联支持度大于最小置信度,则该源IP具有持续性,判定为疑似端口扫描攻击。
进一步地,攻击源判定单元406:具体用于将具有相同源IP的疑似端口扫描攻击对应的所述集合进行归并;计算源IP-目的端口的关联信息熵确定源IP的分散性;计算源IP-SYN标识的联合特征信息熵确定SYN标识的集中性;若源IP具有分散性,SYN标识具有集中性,则确定该IP为攻击源IP。
本发明实施例提供的装置对单一流量进行数据处理,转化为完整的会话数据,极大的较少后续检测分析的计算量;同时逐步分析会话数据存在的关联特征,包括会话数据的持续性、分散性及集中性,确定会话数据中存在的端口扫描攻击,降低误报率及资源消耗,提高实时性。
本发明实施例还提供一种电子设备,图5为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体51、处理器52、存储器53、电路板54和电源电路55,其中,电路板54安置在壳体51围成的空间内部,处理器52和存储器53设置在电路板54上;电源电路55,用于为上述电子设备的各个电路或器件供电;存储器53用于存储可执行程序代码;处理器52通过读取存储器53中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的端口扫描攻击的检测方法。
处理器52对上述步骤的具体执行过程以及处理器52通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明的实施例还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述的端口扫描攻击的检测方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种端口扫描攻击的检测方法,其特征在于,包括:
采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;
对DNS流量数据归并融合,形成DNS会话数据;
对非DNS流量数据归并融合,形成非DNS会话数据;
将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;
采用算法分析所述完整的会话数据,判定疑似端口扫描攻击;
采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP。
2.如权利要求1所述的方法,其特征在于,所述对DNS流量数据归并融合,形成DNS会话数据,具体为:
提取DNS流量数据中源IP、源端口、目的IP、目的端口构成DNS特征;
将源端口或目的端口为53的DNS流量数据的源IP、源端口与目的IP、目的端口进行信息调换;
将信息调换后的源IP、目的IP、源端口、目的端口、时间对进行归并,形成DNS会话数据。
3.如权利要求2所述的方法,其特征在于,所述对非DNS流量数据归并融合,形成非DNS会话数据,具体为:
提取非DNS流量数据中源IP、源端口、目的IP、目的端口及协议构成非DNS特征;
根据所述非DNS特征对非DNS流量数据进行合并,形成非DNS会话数据。
4.如权利要求3所述的方法,其特征在于,所述将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据,具体为:
设置时限,将时限内的DNS会话数据中返回的DNS应答IP与非DNS数据中的目的IP进行关联,并将DNS会话数据和非DNS会话数据融合,形成完整的会话数据。
5.如权利要求4所述的方法,其特征在于,所述采用算法分析所述完整的会话数据,判定疑似端口扫描攻击,具体为:
设置分析周期,按照分析周期将完整的会话数据分成多个会话数据集合;
使用Apriori算法对每个所述集合进行持续性分析,以源IP-目的IP作为关联特征,计算所述集合内每个源IP的关联支持度及最小置信度;
若某源IP的关联支持度大于最小置信度,则该源IP具有持续性,判定为疑似端口扫描攻击。
6.如权利要求5所述的方法,其特征在于,所述采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP,具体为:
将具有相同源IP的疑似端口扫描攻击对应的所述集合进行归并;
计算源IP-目的端口的关联信息熵确定源IP的分散性;
计算源IP-SYN标识的联合特征信息熵确定SYN标识的集中性;
若源IP具有分散性,SYN标识具有集中性,则确定该IP为攻击源IP。
7.一种端口扫描攻击的检测装置,其特征在于,包括:
采集分类单元:用于采集流量数据,将所述流量数据分为DNS流量数据及非DNS流量数据;
DNS会话数据形成单元:用于对DNS流量数据归并融合,形成DNS会话数据;
非DNS会话数据形成单元:用于对非DNS流量数据归并融合,形成非DNS会话数据;
完整会话数据形成单元:用于将DNS会话数据和非DNS会话数据相互关联融合,形成完整的会话数据;
疑似攻击判定单元:用于采用算法分析所述完整的会话数据,判定疑似端口扫描攻击;
攻击源判定单元:用于采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性,最终确定攻击源IP。
8.如权利要求7所述的装置,其特征在于,所述DNS会话数据形成单元,具体用于提取DNS流量数据中源IP、源端口、目的IP、目的端口构成DNS特征;
将源端口或目的端口为53的DNS流量数据的源IP、源端口与目的IP、目的端口进行信息调换;
将信息调换后的源IP、目的IP、源端口、目的端口、时间对进行归并,形成DNS会话数据。
9.如权利要求8所述的装置,其特征在于,所述非DNS会话数据形成单元,具体用于提取非DNS流量数据中源IP、源端口、目的IP、目的端口及协议构成非DNS特征;
根据所述非DNS特征对非DNS流量数据进行合并,形成非DNS会话数据。
10.如权利要求9所述的装置,其特征在于,所述完整会话数据形成单元:具体用于设置时限,将时限内的DNS会话数据中返回的DNS应答IP与非DNS数据中的目的IP进行关联,并将DNS会话数据和非DNS会话数据融合,形成完整的会话数据。
11.如权利要求10所述的装置,其特征在于,所述疑似攻击判定单元:具体用于设置分析周期,按照分析周期将完整的会话数据分成多个会话数据集合;
使用算法对每个所述集合进行持续性分析,以源IP-目的IP作为关联特征,计算所述集合内每个源IP的关联支持度及最小置信度;
若某源IP的关联支持度大于最小置信度,则该源IP具有持续性,判定为疑似端口扫描攻击。
12.如权利要求11所述的装置,其特征在于,攻击源判定单元:具体用于将具有相同源IP的疑似端口扫描攻击对应的所述集合进行归并;
计算源IP-目的端口的关联信息熵确定源IP的分散性;
计算源IP-SYN标识的联合特征信息熵确定SYN标识的集中性;
若源IP具有分散性,SYN标识具有集中性,则确定该IP为攻击源IP。
13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至6任一项所述的端口扫描攻击的检测方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至6中任一项所述的端口扫描攻击的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010540102.8A CN111800391B (zh) | 2020-06-12 | 2020-06-12 | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010540102.8A CN111800391B (zh) | 2020-06-12 | 2020-06-12 | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111800391A true CN111800391A (zh) | 2020-10-20 |
CN111800391B CN111800391B (zh) | 2023-05-23 |
Family
ID=72802927
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010540102.8A Active CN111800391B (zh) | 2020-06-12 | 2020-06-12 | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111800391B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301668A (zh) * | 2021-12-28 | 2022-04-08 | 北京安天网络安全技术有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090138590A1 (en) * | 2007-11-26 | 2009-05-28 | Eun Young Lee | Apparatus and method for detecting anomalous traffic |
US20120117254A1 (en) * | 2010-11-05 | 2012-05-10 | At&T Intellectual Property I, L.P. | Methods, Devices and Computer Program Products for Actionable Alerting of Malevolent Network Addresses Based on Generalized Traffic Anomaly Analysis of IP Address Aggregates |
CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
CN109951491A (zh) * | 2019-03-28 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法、装置、设备及存储介质 |
-
2020
- 2020-06-12 CN CN202010540102.8A patent/CN111800391B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090138590A1 (en) * | 2007-11-26 | 2009-05-28 | Eun Young Lee | Apparatus and method for detecting anomalous traffic |
US20120117254A1 (en) * | 2010-11-05 | 2012-05-10 | At&T Intellectual Property I, L.P. | Methods, Devices and Computer Program Products for Actionable Alerting of Malevolent Network Addresses Based on Generalized Traffic Anomaly Analysis of IP Address Aggregates |
CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
CN109951491A (zh) * | 2019-03-28 | 2019-06-28 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法、装置、设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
苏芮: "基于流量数据可视化的端口扫描行为识别工具设计与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
薛少勃: "基于流量的网络异常行为检测方法研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301668A (zh) * | 2021-12-28 | 2022-04-08 | 北京安天网络安全技术有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111800391B (zh) | 2023-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110808968B (zh) | 网络攻击检测方法、装置、电子设备和可读存储介质 | |
CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
CN109922065B (zh) | 恶意网站快速识别方法 | |
CN111090615A (zh) | 混合资产的分析处理方法、装置、电子设备及存储介质 | |
CN103297267A (zh) | 一种网络行为的风险评估方法和系统 | |
CN108073808B (zh) | 基于pdb调试信息生成攻击者画像的方法及系统 | |
CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
CN112148305A (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
CN109995751B (zh) | 上网设备标记方法、装置及存储介质、计算机设备 | |
CN110740117B (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
CN110472410B (zh) | 识别数据的方法、设备和数据处理方法 | |
CN110659493A (zh) | 威胁告警方式生成的方法、装置、电子设备及存储介质 | |
CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN107995167B (zh) | 一种设备识别方法及服务器 | |
CN114528552B (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
CN115987625A (zh) | 一种恶意流量检测方法、装置及电子设备 | |
CN115906081A (zh) | 恶意样本文件检测方法、装置、服务器、电子设备及存储介质 | |
CN113220949B (zh) | 一种隐私数据识别系统的构建方法及装置 | |
CN114338102A (zh) | 安全检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |