CN113141376B - 一种恶意ip扫描检测方法、装置、电子设备及存储介质 - Google Patents
一种恶意ip扫描检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113141376B CN113141376B CN202110500226.8A CN202110500226A CN113141376B CN 113141376 B CN113141376 B CN 113141376B CN 202110500226 A CN202110500226 A CN 202110500226A CN 113141376 B CN113141376 B CN 113141376B
- Authority
- CN
- China
- Prior art keywords
- equipment
- preset
- target
- source
- session table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种恶意IP扫描检测方法、装置、电子设备及介质,方法包括:获取IP数据包,并确定IP数据包中的源设备及目标设备;利用预设设备会话表判断源设备或目标设备是否满足预设条件;预设条件包括源设备为目标设备新建立连接的新增源设备,或目标设备为源设备新建立连接的新增目标设备;若源设备或目标设备满足预设条件,则统计满足预设条件的源设备所连接的目标设备或满足预设条件的目标设备的数量,并在数量大于预设阈值时确定源设备存在恶意IP扫描。本方法可利用预设设备会话表快速确定是否出现恶意IP扫描且无需设置周期,可对各种类型的IP数据包进行IP扫描检测,并有效提升恶意IP扫描检测的全面性及有效性。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种恶意IP扫描检测方法、装置、电子设备及计算机可读存储介质。
背景技术
随着接入工业控制网络的设备数量不断增大,对工业控制网络的安全要求也在不断提升,如何有效防范网络入侵便成为管理工业控制网络中的重要一环,而在工业控制网络安全管理中,对IP扫描的检测尤为重要。
相关技术中,恶意IP扫描一般通过匹配检测周期内出现IP数据包所带有的特征进行检测,然而IP数据包种类繁多,上述方法只能对特定的IP数据包进行检测,同时上述检测方式的检测精度受限于检测周期的时长,仅在检测周期较短时才可取得较高的检测精度,但面对扫描周期较长的恶意IP扫描时,上述方式将难以得到可靠的检测结果。因此,如何全面有效地对长扫描周期的恶意IP扫描进行检测是本领域技术人员所面对的技术问题。
发明内容
本发明的目的是提供一种恶意IP扫描检测方法、装置、电子设备及计算机可读存储介质,可利用预设设备会话表快速确定是否出现恶意IP扫描且无需设置周期,可对各种类型的IP数据包进行IP扫描检测,并有效提升恶意IP扫描检测的全面性及有效性。
为解决上述技术问题,本发明提供一种恶意IP扫描检测方法,包括:
获取IP数据包,并确定所述IP数据包中的源设备及目标设备;
利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件;所述预设条件包括所述源设备为所述目标设备新建立连接的新增源设备,或所述目标设备为所述源设备新建立连接的新增目标设备;
若所述源设备或所述目标设备满足所述预设条件,则统计满足所述预设条件的源设备所连接的目标设备或满足所述预设条件的目标设备的数量,并在所述数量大于预设阈值时确定所述源设备存在恶意IP扫描。
可选地,在利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件之前,还包括:
将所述源设备与所述目标设备的连接关系更新至监听会话表中;
相应的,所述利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件,包括:
利用所述预设设备会话表与所述监听会话表进行对比,判断所述源设备或所述目标设备是否满足所述预设条件。
可选地,所述将所述源设备与所述目标设备的连接关系更新至监听会话表中,包括:
判断所述源设备与所述目标设备的连接关系是否记录于所述监听会话表中;
若否,则将所述连接关系添加至所述监听会话表中。
可选地,所述获取IP数据包,包括:
通过交换机的镜像口获取所述IP数据包。
可选地,在获取IP数据包之前,还包括:
利用在预设时间段内获取到的IP数据包所包含的源设备信息及目标设备信息生成所述预设设备会话表。
可选地,所述利用在预设时间段内获取到的IP数据包所包含的源设备信息及目标设备信息生成所述预设设备会话表,包括:
判断所述IP数据包中的源设备信息与目标设备信息的连接关系是否记录于所述预设设备会话表中;
若否,则将所述连接关系添加至所述预设设备会话表中。
可选地,所述预设设备会话表为hash桶。
本发明还提供一种恶意IP扫描检测装置,包括:
解析模块,用于获取IP数据包,并确定所述IP数据包中的源设备及目标设备;
判断模块,用于利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件;所述预设条件包括所述源设备为所述目标设备新建立连接的新增源设备,或所述目标设备为所述源设备新建立连接的新增目标设备;
统计模块,用于若所述源设备或所述目标设备满足所述预设条件,则统计满足所述预设条件的源设备所连接的目标设备或满足所述预设条件的目标设备的数量,并在所述数量大于预设阈值时确定所述源设备存在恶意IP扫描。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的恶意IP扫描检测方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述的恶意IP扫描检测方法。
本发明提供一种恶意IP扫描检测方法,包括:获取IP数据包,并确定所述IP数据包中的源设备及目标设备;利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件;所述预设条件包括所述源设备为所述目标设备新建立连接的新增源设备,或所述目标设备为所述源设备新建立连接的新增目标设备;若所述源设备或所述目标设备满足所述预设条件,则统计满足所述预设条件的目标设备或满足所述预设条件的源设备所连接的目标设备的数量,并在所述数量大于预设阈值时确定所述源设备存在恶意IP扫描。
可见,本方法首先利用预设设备会话表对IP数据包中的源设备及目标设备进行检测判断,由于预设设备会话表中包含有原先建立过连接的源设备及对应的目标设备,因此利用预设设备会话表可快速确定网络监听范围内新出现的连接关系,即确定源设备为原有的目标设备新建立连接的新增源设备,或目标设备为原有的源设备新建立连接的新增目标设备,进而可利用与新增源设备建立连接的目标设备,及与原有源设备新建立连接的新增目标设备数量,快速确定网络监听范围内是否出现恶意IP扫描检测,无需进行IP数据包特征匹配,可针对各种类型的IP数据包进行IP扫描检测;同时,由于本方法仅需统计源设备符合预设条件的IP扫描行为数量,并在确定该数量大于预设阈值时便可确定源设备存在恶意IP扫描,不需要设置检测周期,因此也可有效避免相关技术中难以对扫描周期超过预设时间段的恶意IP扫描进行检测的问题,最终可有效提升恶意IP扫描检测的全面性及有效性。本发明还提供一种恶意IP扫描检测装置、电子设备及计算机可读存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种恶意IP扫描检测方法的流程图;
图2为本发明实施例所提供的一种恶意IP扫描检测所适用网络结构的示意图;
图3为本发明实施例所提供的另一种恶意IP扫描检测方法的流程图;
图4为本发明实施例所提供的一种生成预设设备会话表的流程图;
图5为本发明实施例所提供的一种恶意IP扫描检测装置的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,恶意IP扫描检测通过匹配预设时间段内出现IP数据包所带有的特征进行,但IP数据包种类繁多,上述方法只能对特定的IP数据包进行检测,同时也难以对扫描周期超过预设时间段的恶意IP扫描进行检测。因此,如何全面有效地对恶意IP扫描进行检测是本领域技术人员所面对的技术问题。有鉴于此,本发明提供一种恶意IP扫描检测方法,可通过预设设备会话表确定IP数据包中的源设备是否为新增源设备或源设备是否与新增目标设备连接,进而可通过确定属于新增源设备的源设备所连接的目标设备数量,或原有的源设备所新连接的新增目标设备数量,确定源设备是否存在恶意IP扫描,可全面有效地检测恶意IP扫描。请参考图1,图1为本发明实施例所提供的一种恶意IP扫描检测方法的流程图,该方法可以包括:
S101、获取IP数据包,并确定IP数据包中的源设备及目标设备。
需要说明的是,本发明实施例并不限定IP数据包中可包含的具体数据内容及所使用的协议类型,用户可具体参考IP数据包的相关技术。可以理解的是,IP数据包中首先会包含源设备信息,例如IP地址及MAC地址等,因此在本发明实施例中可首先使用IP数据包中携带的源设备信息确定源设备。进一步,对于目标设备,由于IP数据包可采用广播及多播的形式进行发送,但在上述两种发送形式的IP数据包中并未包含明确地目标设备信息,为了明确源设备具体连接的目标设备,本发明实施例仅对单播的IP数据包进行检测。在单播的IP数据包中包含有明确的目标设备信息,例如IP地址及MAC地址等,因此本发明实施例可通过IP数据包中携带的目标设备信息确定目标设备。
进一步,本发明实施例并不限定监听恶意IP扫描的设备,例如可直接使用交换机进行检测,也可以通过一连接与交换机的监测设备进行检测,而交换机负责将经过自身的数据包转发至该监测设备。考虑到使用监测设备首先可将数据流及监听任务隔离开来,同时也不会增加交换机的运算负担,因此在本发明实施例中,可利用连接与交换机的监测设备进行检测。请参考图2,图2为本发明实施例所提供的一种恶意IP扫描检测所适用网络结构的示意图,其中的工业控制机及被控工业设备1、2、……n均可作为源设备及目标设备,其IP数据包需通过交换机进行转发,因此在本发明实施例中,可通过连接于交换机的监测设备进行恶意IP扫描检测。需要说明的是,本发明并不限定监测设备具体的硬件结构,只要能够完成恶意IP扫描检测的功能即可。
进一步,监测设备可通过交换机的镜像口采集网络包。由于监测设备所收集的IP数据包均不发向该设备,因此监测设备需将采集网卡的接收模式设置为混杂模式。同时,由于本发明实施例只涉及IP数据包,因此监测设备需开启过滤,仅保留IP数据包。
在一种可能的情况中,获取IP数据包的过程,可以包括:
步骤11:通过交换机的镜像口获取IP数据包。
进一步,本发明实施例并不限定是否需要对源设备信息及目标设备信息进行存储。当仅进行简单的检测及计数时,可无需存储源设备信息及目标设备信息;当需要准确地计算源设备所连接的目标设备数量时,并需要查阅浏览时,也可以对源设备信息及目标设备信息进行存储。在本发明实施例中,为了提升检测准确性,同时便于查阅管理,可在确定IP数据包中的源设备及目标设备后,将源设备信息及目标设备信息进行存储。
在一种可能的情况中,在利用预设设备会话表判断源设备或目标设备是否满足预设条件之前,还可以包括:
步骤21:将源设备与目标设备的连接关系更新至监听会话表中。
需要说明的是,本发明实施例并不限定监听会话表的具体形式,例如可以将每一IP数据包中源设备信息及目标设备信息以单条会话信息的形式进行存储,也可以首先存储源设备信息,进而将目标设备信息存储至源设备信息在该监听会话表的子列表中。考虑到第二种方式易于查询及管理,因此监听会话表可采用第二种形式。
在一种可能的情况中,将源设备与目标设备的连接关系更新至监听会话表中,包括:
步骤31:判断源设备与目标设备的连接关系是否记录于监听会话表中;
步骤32:若否,则将连接关系添加至监听会话表中;
步骤33:若是,则不将连接关系添加至监听会话表中。
在本发明实施例中,监听会话表记录的是源设备与目标设备的连接关系。例如源设备A与目标设备B的连接关系有A连接B,以及B连接A,只要上述关系中任一种不在监听会话表中,便将该连接关系添加至监听会话表。
需要说明的是,本发明并不限定监听会话表具体使用的数据结构,例如可采用字典形式,也可以采用hash桶(哈希桶)形式,其中哈希桶为一种可节省空间并提升查询效率的数据结构。由于本发明实施例可能存储大量的源设备信息及目标设备信息,因此可将监听会话表设置为hash桶,以便节省空间并提升查阅效率。本发明也不限定监听会话表中可包含的源设备信息及目标设备信息,例如可包含IP地址、MAC地址,例如(SRC_IP,SRC_MAC,DST_IP,DST_MAC),其中SRC_IP和SRC_MAC分别表示源设备的IP地址及MAC地址,DST_IP和DST_MAC分别表示目标设备的IP地址及MAC地址,也可包含连接时间等,用户可根据实际应用需求进行设置。
S102、利用预设设备会话表判断源设备或目标设备是否满足预设条件;预设条件包括源设备为目标设备新建立连接的新增源设备,或目标设备为源设备新建立连接的新增目标设备;若是,则进入步骤S103;若否,则进入步骤S101。
在本发明实施例中,采用预设设备会话表确定源设备是否为目标设备新建立连接的新增源设备,或是目标设备是否为源设备新建立连接的新增目标设备,新增源设备表示源设备在预设设备会话表未记录过的、新建立连接的源设备,而新增目标设备表示源设备在预设设备会话表未记录过的、新建立连接的目标设备。由于预设设备会话表中包含原先建立过连接的源设备和目标设备,换句话说,预设设备会话表记录有监听范围内原先正常且稳定的会话连接,因此可利用预设设备会话表可首先快速确定新增源设备及新增目标设备,同时由于新增源设备及新增目标设备并不在原先正常的会话连接中出现,因此可进一步确定源设备存在恶意IP扫描行为。简单来说,本发明实施例主要通过预设置的、包含有监听区域内原有会话连接的知识库对新增源设备及新增目标设备进行快速筛选,进而只需对新增源设备及新增目标设备的连接情况进行监听即可,无需匹配IP数据包,可有效提升恶意IP扫描检测的全面性及有效性。
需要说明的是,本发明实施例并不限定预设设备会话表的具体形式、可包含的源设备信息及目标设备信息以及是否要求所记录的源设备及对应的目标设备唯一,该部分的限定描述与监听会话表的限定描述一致,此处不再赘述。本发明实施例也不限定预设设备会话表的设置方式,例如可通过人工写入的方式进行设置,当然也可以设置预设时间段,并利用预设时间段内获取到的IP数据包中带有的源设备信息及目标设备信息自动生成该预设设备会话表,即通过自主学习的方式进行生成。考虑到第二种方式可快速生成预设设备会话表,无需人工干预,因此可采用第二种方式生成预设设备会话表,即利用预设时间段内获取到的IP数据包中带有的源设备信息及目标设备信息自动生成该预设设备会话表。
在一种可能的情况中,在获取IP数据包之前,还可以包括:
步骤41:利用在预设时间段内获取到的IP数据包所包含的源设备信息及目标设备信息生成预设设备会话表。
需要说明的是,本发明实施例并不限定预设时间段的具体数值,用户可根据实际应用需求进行设定。可以理解的是,由于预设设备会话表可能与监听会话表进行比较,因此两表的具体形式具有关联性。当监听会话表采用将每一IP数据包中源设备信息及目标设备信息以单条会话信息的形式进行存储,预设设备会话表也可采用该形式进行信息存储;当监听会话表采用首先存储源设备信息,进而将目标设备信息存储至源设备信息在该监听会话表的子列表中的存储形式时,预设设备会话表也可该种存储形式。
在一种可能的情况中,利用在预设时间段内获取到的IP数据包所包含的源设备信息及目标设备信息生成预设设备会话表,包括:
步骤51:判断IP数据包中的源设备信息与目标设备信息的连接关系是否记录于预设设备会话表中;
步骤52:若否,则将连接关系添加至预设设备会话表中步骤53:若是,则不将连接关系添加至预设设备会话表中。
在本发明实施例中,与监听会话表相同,预设设备会话表记录的是源设备与目标设备的连接关系。例如源设备A与目标设备B的连接关系有A连接B,以及B连接A,只要上述关系中任一种不在预设设备会话表中,便将该连接关系添加至预设设备会话表。
需要说明的是,本发明实施例对预设设备会话表中的预设设备会话表的限定描述,与监听会话表的限定描述一致,此处不再赘述。在一种可能的情况中,预设设备会话表为hash桶。
进一步,若将源设备与目标设备更新至监听会话表中,则利用预设设备会话表判断源设备或目标设备是否满足预设条件,包括:
步骤61:利用预设设备会话表与监听会话表进行对比,判断源设备或目标设备是否满足预设条件。
需要说明的是,本发明实施例并不限定预设设备会话表与监听会话表是否处于同一表中。当需要明确区分上述两张表时,可将预设设备会话表与监听会话表设置于两表中;当需要提升对比效率,并节省存储空间时,也可将上述两张表设置于同一表中。在本发明实施例中,为了提升对比效率,并节省存储空间,可将预设设备会话表与监听会话表设置于同一表中。可以理解的是,当预设设备会话表与监听会话表设置于同一表中时,需要利用特殊的标记对收集到的数据进行标注。本发明实施例并不限定具体的标注数据,用户可根据实际应用需求进行设定,例如可将预设设备会话表中的数据标注数字0,将监听会话表中的数据标注数字1。进一步,由于源设备与目标设备之间可能存在若干次连接,为了避免重复标注的源设备与目标设备的连接关系,可对连接关系进行验证,并在确定该连接关系为首次出现时才进行标注。
进一步,需要说明的是,本发明实施例并不限定判断目标设备是否为源设备新建立连接的新增目标设备,以及判断源设备是否为新增源设备的先后顺序,用户可任意设定上述两个判定过程的执行顺序。考虑到当源设备为新增源设备时,此时该源设备的所有连接行为均为预设设备会话表中未记录过的连接,因此可首先判断源设备是否为新增源设备,并仅在源设备不是新增源设备时才判断目标设备是否为源设备新建立连接的新增目标设备。
最后,需要说明的是,本发明并不限定步骤S102判断操作的执行时机,例如可以在获取到IP数据包时便执行判断,也可以间隔固定时间段进行判断。为了节省计算资源,在本发明实施例中,可间隔固定时间段进行上述判断。本发明实施例并不限定具体的固定时间段,用户可根据实际应用需求进行设定。可以理解的是,虽然判断过程可间隔固定时间段进行,但获取IP数据包及记录IP数据包中的源设备及目标设备需持续进行。
S103、若源设备或目标设备满足预设条件,则统计满足预设条件的源设备所连接的目标设备或满足预设条件的目标设备的数量,并在数量大于预设阈值时确定源设备存在恶意IP扫描。
需要说明的是,本发明并不限定预设阈值的具体数值,用户可根据实际应用需求进行设置。可以理解的是,也可以为符合预设条件的目标设备设置第一预设阈值,并为满足预设条件的源设备所连接的目标设备设置与第一预设阈值不同的第二预设阈值。当然,第一预设阈值及第二预设阈值的具体数值也可根据实际应用需求进行设置。
本发明实施例也不限定统计满足预设条件的目标设备或满足预设条件的源设备所连接的目标设备的数量的方式,例如在确定新增源设备或是新增目标设备后,可为该源设备设置连接计数器进行累加;当然,也可以使用监听会话表进行对比。由于利用监听会话表进行对比统计的方式较为高效,因此在本发明实施例中,可采用第二种方式进行统计。
基于上述实施例,本方法首先利用预设设备会话表对IP数据包中的源设备及目标设备进行检测判断,由于预设设备会话表中包含有原先建立过连接的源设备及对应的目标设备,因此利用预设设备会话表可快速确定网络监听范围内新出现的连接关系,即确定源设备为原有的目标设备新建立连接的新增源设备,或目标设备为原有的源设备新建立连接的新增目标设备,进而可利用与新增源设备建立连接的目标设备,及与原有源设备新建立连接的新增目标设备数量,快速确定网络监听范围内是否出现恶意IP扫描检测,无需进行IP数据包特征匹配,可针对各种类型的IP数据包进行IP扫描检测;同时,由于本方法仅需统计源设备符合预设条件的IP扫描行为数量,并在确定该数量大于预设阈值时便可确定源设备存在恶意IP扫描,不需要设置检测周期,因此也可有效避免相关技术中难以对扫描周期超过预设时间段的恶意IP扫描进行检测的问题,最终可有效提升恶意IP扫描检测的全面性及有效性。
下面结合具体的流程图介绍上述恶意IP扫描检测方法,请参考图3,图3为本发明实施例所提供的另一种恶意IP扫描检测方法的流程图,该方法可以包括:
1、获取IP数据包,并确定IP数据包中的源设备及目标设备;
2、利用预设设备会话表判断源设备是否为目标设备新建立连接的新增源设备;预设设备会话表中包含原先建立过连接的源设备和目标设备;
3、若源设备为新增源设备,则统计与源设备建立连接的目标设备数量,并在目标设备数量大于第一阈值时确定源设备存在恶意IP扫描;
4、若源设备不为新增源设备,则利用预设设备会话表判断目标设备是否为与源设备新建立连接的新增目标设备;
5、若目标设备为新增目标设备,则统计与源设备建立连接的新增目标设备数量,并在新增目标设备数量大于第二阈值时确定源设备存在恶意IP扫描。
其中,预设设备会话表的生成过程,请参考图4,图4为本发明实施例所提供的一种生成预设设备会话表的流程图,该过程可以包括:
1、在预设时间段内,获取IP数据包;
2、判断IP数据包中的源设备信息与目标设备信息的连接关系是否记录于预设设备会话表中;
3、若否,则将该连接关系添加至预设设备会话表;
4、若是,则不将该连接关系添加至预设设备会话表。
下面对本发明实施例提供的一种恶意IP扫描检测装置、电子设备及计算机可读存储介质进行介绍,下文描述的一种恶意IP扫描检测装置、电子设备及计算机可读存储介质与上文描述的恶意IP扫描检测方法可相互对应参照。
请参考图5,图5为本发明实施例所提供的一种恶意IP扫描检测装置的结构框图,该装置可以包括:
解析模块501,用于获取IP数据包,并确定IP数据包中的源设备及目标设备;
判断模块502,用于利用预设设备会话表判断源设备或目标设备是否满足预设条件;预设条件包括源设备为目标设备新建立连接的新增源设备,或目标设备为源设备新建立连接的新增目标设备;
统计模块503,用于若源设备或目标设备满足预设条件,则统计满足预设条件的源设备所连接的目标设备或满足预设条件的目标设备的数量,并在数量大于预设阈值时确定源设备存在恶意IP扫描。
优选地,该装置还可以包括:
第一添加模块,用于将源设备与目标设备的连接关系更新至监听会话表中;
相应的,判断模块502,可以包括:对比子模块,用于利用预设设备会话表与监听会话表进行对比,判断源设备是否为新增源设备;
优选地,第一添加模块,可以包括:
第一判断子模块,用于判断源设备与目标设备的连接关系是否记录于监听会话表中;
第一添加子模块,用于若否,则将连接关系添加至监听会话表中。
优选地,解析模块501,可以包括:
获取子模块,用于通过交换机的镜像口获取IP数据包。
优选地,该装置还可以包括:
学习模块,用于利用在预设时间段内获取到的IP数据包所包含的源设备信息及目标设备信息生成预设设备会话表。
优选地,学习模块,可以包括:
第二判断子模块,用于判断IP数据包中的源设备信息与目标设备信息的连接关系是否记录于预设设备会话表中;
第三添加子模块,用于若否,则将连接关系添加至预设设备会话表中。
优选地,预设设备会话表为hash桶。
本发明实施例还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的恶意IP扫描检测方法的步骤。
由于电子设备部分的实施例与恶意IP扫描检测方法部分的实施例相互对应,因此电子设备部分的实施例请参见恶意IP扫描检测方法部分的实施例的描述,这里暂不赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的恶意IP扫描检测方法的步骤。
由于计算机可读存储介质部分的实施例与恶意IP扫描检测方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见恶意IP扫描检测方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种恶意IP扫描检测方法、装置、电子设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种恶意IP扫描检测方法,其特征在于,包括:
获取IP数据包,并确定所述IP数据包中的源设备及目标设备;
利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件;所述预设条件包括所述源设备为与预设设备会话表中的原有目标设备新建立连接的新增源设备,或所述目标设备为与预设设备会话表中的原有源设备新建立连接的新增目标设备;
若所述源设备或所述目标设备满足所述预设条件,则统计满足所述预设条件的源设备所连接的目标设备或满足所述预设条件的目标设备的数量,并在所述数量大于预设阈值时确定所述源设备存在恶意IP扫描。
2.根据权利要求1所述的恶意IP扫描检测方法,其特征在于,在利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件之前,还包括:
将所述源设备与所述目标设备的连接关系更新至监听会话表中;
相应的,所述利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件,包括:利用所述预设设备会话表与所述监听会话表进行对比,判断所述源设备或所述目标设备是否满足所述预设条件。
3.根据权利要求2所述的恶意IP扫描检测方法,其特征在于,所述将所述源设备与所述目标设备的连接关系更新至监听会话表中,包括:
判断所述源设备与所述目标设备的连接关系是否记录于所述监听会话表中;
若否,则将所述连接关系添加至所述监听会话表中。
4.根据权利要求1所述的恶意IP扫描检测方法,其特征在于,所述获取IP数据包,包括:
通过交换机的镜像口获取所述IP数据包。
5.根据权利要求1至4任一项所述的恶意IP扫描检测方法,其特征在于,在获取IP数据包之前,还包括:
利用在预设时间段内获取到的IP数据包所包含的源设备信息及目标设备信息生成所述预设设备会话表。
6.根据权利要求5所述的恶意IP扫描检测方法,其特征在于,所述利用在预设时间段内获取到的IP数据包所包含的源设备信息及目标设备信息生成所述预设设备会话表,包括:
判断所述IP数据包中的源设备信息与目标设备信息的连接关系是否记录于所述预设设备会话表中;
若否,则将所述连接关系添加至所述预设设备会话表中。
7.根据权利要求6所述的恶意IP扫描检测方法,其特征在于,所述预设设备会话表为hash桶。
8.一种恶意IP扫描检测装置,其特征在于,包括:
解析模块,用于获取IP数据包,并确定所述IP数据包中的源设备及目标设备;
判断模块,用于利用预设设备会话表判断所述源设备或所述目标设备是否满足预设条件;所述预设条件包括所述源设备为与预设设备会话表中的原有目标设备新建立连接的新增源设备,或所述目标设备为与预设设备会话表中的原有源设备新建立连接的新增目标设备;
统计模块,用于若所述源设备或所述目标设备满足所述预设条件,则统计满足所述预设条件的源设备所连接的目标设备或满足所述预设条件的目标设备的数量,并在所述数量大于预设阈值时确定所述源设备存在恶意IP扫描。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的恶意IP扫描检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述的恶意IP扫描检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110500226.8A CN113141376B (zh) | 2021-05-08 | 2021-05-08 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110500226.8A CN113141376B (zh) | 2021-05-08 | 2021-05-08 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113141376A CN113141376A (zh) | 2021-07-20 |
| CN113141376B true CN113141376B (zh) | 2023-06-27 |
Family
ID=76816960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110500226.8A Active CN113141376B (zh) | 2021-05-08 | 2021-05-08 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113141376B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114760216B (zh) * | 2022-04-12 | 2023-12-05 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763398A (zh) * | 2016-05-06 | 2016-07-13 | 哈尔滨工程大学 | 一种基于序列假设测试的扫描检测优化方法 |
| CN111447201A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置及电子设备和存储介质 |
| CN111949990A (zh) * | 2020-08-10 | 2020-11-17 | 曙光信息产业(北京)有限公司 | 跨站脚本风险检测方法、装置、计算机设备和存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| US8516573B1 (en) * | 2005-12-22 | 2013-08-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for port scan detection in a network |
| US20070245417A1 (en) * | 2006-04-17 | 2007-10-18 | Hojae Lee | Malicious Attack Detection System and An Associated Method of Use |
| CN104836702B (zh) * | 2015-05-06 | 2018-06-19 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
| CN109150890A (zh) * | 2018-09-05 | 2019-01-04 | 杭州迪普科技股份有限公司 | 新建连接攻击的防护方法及相关设备 |
| CN111092900B (zh) * | 2019-12-24 | 2022-04-05 | 北京北信源软件股份有限公司 | 服务器异常连接和扫描行为的监控方法和装置 |
| CN111478925B (zh) * | 2020-05-21 | 2022-12-06 | 四川英得赛克科技有限公司 | 应用于工业控制环境的端口扫描检测方法、系统 |
| CN112104611A (zh) * | 2020-08-20 | 2020-12-18 | 广东网堤信息安全技术有限公司 | 一种cc攻击防护管理的方法 |
-
2021
- 2021-05-08 CN CN202110500226.8A patent/CN113141376B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763398A (zh) * | 2016-05-06 | 2016-07-13 | 哈尔滨工程大学 | 一种基于序列假设测试的扫描检测优化方法 |
| CN111447201A (zh) * | 2020-03-24 | 2020-07-24 | 深信服科技股份有限公司 | 一种扫描行为识别方法、装置及电子设备和存储介质 |
| CN111949990A (zh) * | 2020-08-10 | 2020-11-17 | 曙光信息产业(北京)有限公司 | 跨站脚本风险检测方法、装置、计算机设备和存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| C. Leckie ; R. Kotagiri.A probabilistic approach to detecting network scans.NOMS 2002. IEEE/IFIP Network Operations and Management Symposium. ' Management Solutions for the New Communications World'(Cat. No.02CH37327).2002,全文. * |
| 吴昊 ; 蒋湘涛 ; 王勇 ; 刘刚常 ; .一种检测隐蔽扫描活动的模型.计算机工程.2006,(第24期),全文. * |
| 葛志辉 ; 李陶深.一种新的端口扫描检测方法.广西科学院学报.2005,第21卷(第4期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113141376A (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| US10419457B2 (en) | Selecting from computing nodes for correlating events | |
| CN104869155B (zh) | 数据审计方法及装置 | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN111190755B (zh) | 应用程序的功能异常处理方法及装置 | |
| CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| TW201119285A (en) | Identification of underutilized network devices | |
| CN105282152A (zh) | 一种异常流量检测的方法 | |
| CN113141376B (zh) | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 | |
| CN111104395A (zh) | 数据库审计方法、设备、存储介质及装置 | |
| CN113630418B (zh) | 一种网络服务识别方法、装置、设备及介质 | |
| US9917747B2 (en) | Problem detection in a distributed digital network through distributed packet analysis | |
| US11245712B2 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
| CN111565196B (zh) | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 | |
| CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
| CN106375351B (zh) | 一种异常域名检测的方法及装置 | |
| CN112688924A (zh) | 网络协议分析系统 | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data | |
| CN106254375B (zh) | 一种无线热点设备的识别方法及装置 | |
| CN110995887B (zh) | 一种id关联方法和装置 | |
| CN111079044B (zh) | 一种共享检测方法和装置 | |
| CN115361154A (zh) | 一种会话流量的统计方法及装置 | |
| CN112383563A (zh) | 一种入侵检测方法及相关装置 | |
| CN112714008A (zh) | 网络拓扑分析方法、设备及存储介质 | |
| US20180331922A1 (en) | Methods and systems for time-based binning of network traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |