CN114070633A - 一种地址扫描行为检测方法及装置 - Google Patents
一种地址扫描行为检测方法及装置 Download PDFInfo
- Publication number
- CN114070633A CN114070633A CN202111383518.4A CN202111383518A CN114070633A CN 114070633 A CN114070633 A CN 114070633A CN 202111383518 A CN202111383518 A CN 202111383518A CN 114070633 A CN114070633 A CN 114070633A
- Authority
- CN
- China
- Prior art keywords
- flow message
- detected
- source
- address
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种地址扫描行为检测方法及装置,所述方法包括:获得待测流量报文;至少确定所述待测流量报文的目的IP;确定主机访问表中是否记录有所述目的IP,所述主机访问表基于正常流量报文的访问信息建立,所述主机访问表中记录有与所述正常流量报文相关地IP信息;若所述主机访问表中未记录所述目的IP,则确定所述待测流量报文的源IP;至少确定对应所述源IP发起访问的速率;基于所述速率确定所述待测流量报文是否属于地址扫描行为。本发明的地址扫描行为检测方法能够更快速、高效地对待测流量进行地址扫描行为的检测,且检测精度高。
Description
技术领域
本发明实施例涉及网络通信及网络安全技术领域,特别涉及一种地址扫描行为检测方法及装置。
背景技术
地址扫描是攻击者攻击前的踩点行为,即一种恶意行为,如在一定时间内,使用自动化工具或者脚本,对网段内所有IP进行探测,如果探测到某一个IP有真实主机存在,则会返回对应的网络数据包。如果没有主机存在,则没有网络数据包返回,说明该IP不存在真实主机。基于上述方法可快速发现网段内每个IP是否具有真实主机存在,进而对有真实主机的IP发起下一步的攻击。包括制定更为详细的攻击计划,或者选择有目标价值的主机进行攻击。
为了应对上述的踩点行为,避免主机受到攻击,目前常用的方法包括:
根据源IP,在单位时间内新建连接的次数,计算对应的新建连接速率。根据新建连接速率,判断其是否大于设定的阈值,如果大于阈值,则判定为恶意的扫描行为。
但是,由于单纯以新建连接速率为评判标准,依据较为单薄,尤其是在设定的阈值过高,或对应单元的新建连接速率处于低速情况下进行的IP地址扫描,此时则无法检测到该种恶意扫描行为。而如果设定的阈值过低,则请求速率较高的一些正常业务,也会被判定为恶意扫描行为,故上述方案整体检测误差较大。
发明内容
本发明提供了一种更快速、高效,且检测精度更高的地址扫描行为检测方法及装置。
为了解决上述技术问题,本发明实施例提供了一种地址扫描行为检测方法,包括:
获得待测流量报文;
至少确定所述待测流量报文的目的IP;
确定主机访问表中是否记录有所述目的IP,所述主机访问表基于正常流量报文的访问信息建立,所述主机访问表中记录有与所述正常流量报文相关地IP信息;
若所述主机访问表中未记录所述目的IP,则确定所述待测流量报文的源IP;
至少确定对应所述源IP发起访问的速率;
基于所述速率确定所述待测流量报文是否属于地址扫描行为。
作为一可选实施例,还包括:
获得正常流量报文;
解析所述正常流量报文,确定所述整成流量报文的源IP、目的IP;
基于所述正常流量报文的源IP、目的IP建立所述主机访问表;
记录对应所述正常流量报文的源IP、目的IP的访问次数,并将所述访问次数写入所述主机访问表中。
作为一可选实施例,还包括:
在确定所述待测流量报文为正常流量报文,且所述待测流量报文未记录在所述主机访问表中时,至少记录所述待测流量报文的源IP、目的IP至所述主机访问表中。
作为一可选实施例,还包括:
确定所述待测流量报文的源IP是否记录在可疑地址表中,所述可疑地址表用于记录确定发起了地址扫描行为,以及疑似发起了地址扫描行为的IP地址;
若记录在所述可疑地址表中,则计算由所述待测流量报文的源IP发起访问的速率。
作为一可选实施例,还包括:
若未记录在所述可疑地址表中,则将所述待测流量报文的源IP地址记录在所述可疑地址表中。
作为一可选实施例,所述基于所述速率确定所述待测流量报文是否属于地址扫描行为,包括:
基于所述速率与设定的阈值进行比对,基于比对结果确定所述待测流量报文是否属于地址扫描行为。
作为一可选实施例,还包括:
确定所述主机访问表中记录的信息在所述主机访问表中存储的时长,若所述时长超出时间阈值,则对所述信息进行清零。
本发明另一实施例同时提供一种地址扫描行为检测装置,包括:
第一获得模块,用于获得待测流量报文;
第一确定模块,用于至少确定所述待测流量报文的目的IP;
第二确定模块,用于确定主机访问表中是否记录有所述目的IP,所述主机访问表基于正常流量报文的访问信息建立,所述主机访问表中记录有与所述正常流量报文相关地IP信息;
第三确定模块,用于在所述主机访问表中未记录所述目的IP时,确定所述待测流量报文的源IP;
计算模块,用于至少确定对应所述源IP发起访问的速率;
判断模块,用于根据所述速率确定所述待测流量报文是否属于地址扫描行为。
作为一可选实施例,还包括:
第二获得模块,用于获得正常流量报文;
解析模块,用于解析所述正常流量报文,确定所述整成流量报文的源IP、目的IP;
建立模块,用于根据所述正常流量报文的源IP、目的IP建立所述主机访问表;
第一记录模块,用于记录对应所述正常流量报文的源IP、目的IP的访问次数,并将所述访问次数写入所述主机访问表中。
作为一可选实施例,还包括:
第二记录模块,用于在确定所述待测流量报文为正常流量报文,且所述待测流量报文未记录在所述主机访问表中时,至少记录所述待测流量报文的源IP、目的IP至所述主机访问表中。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括通过检测待测流量的目的IP,并对其目的IP进行检测,确定其是否存储在主机访问列表中,以基于此来确定该目的IP是否大概率上为正常的具有实体主机的IP地址,若不是,则可确定待测流量报文的源IP,并计算由该源IP发起访问请求的速率,最终基于该速率确定是否表征该待测流量报文属于恶意的地址扫描行为。上述方法可规避掉正常业务流量,同时可以对低速率的地址扫描行为进行检测,提高了检测效率及精度,降低了误判率。
附图说明
图1为本发明实施例中的地址扫描行为检测流程图。
图2为本发明实施例中的地址扫描行为检测方法的实际应用流程图。
图3为本发明另一实施例中的地址扫描行为检测方法的实际应用流程图。
图4为本发明实施例中的地址扫描行为检测装置的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
如图1所示,本发明实施例提供一种地址扫描行为检测方法,包括:
获得待测流量报文;
至少确定待测流量报文的目的IP;
确定主机访问表中是否记录有目的IP,主机访问表基于正常流量报文的访问信息建立,主机访问表中记录有与正常流量报文相关地IP信息;
若主机访问表中未记录目的IP,则确定待测流量报文的源IP;
至少确定对应源IP发起访问的速率;
基于速率确定待测流量报文是否属于地址扫描行为。
本实施例中的方法可以应用于网关、防火墙中,用于对访问流量进行安全检测。周知地,地址扫描是攻击者攻击前的踩点行为,具体为在一定时间内,使用自动化工具或者脚本,对网段内所有IP地址进行探测,如果探测到某一个IP地址有真实主机存在,则会返回对应的网络数据包。如果没有主机存在,则没有网络数据包返回,说明该IP地址不存在真实主机。从而快速确定该网段内哪些IP地址具有真实主机存在,进而对有真实主机的IP地址发起攻击。故,从地址扫描的特性来看,其必然会访问大量低重复性的目的IP。而从正常业务的特性来看,其必然会访问大量高重复性的目的IP。据此,本实施例中公开的方法通过利用地址扫描行为和正常流量访问行为的特征来实现流量检测。
例如,网关获得待测流量报文后,至少先分析待测流量报文,确定待测报文的目的IP。接着在主机访问表中查找该目的IP,由于主机访问表是基于正常流量报文建立的,其记录有关于正常流量报文的IP信息,如正常流量报文的源IP地址,目的IP地址等。倘若待测流量报文的目的IP被记录在了主机访问表中,则可确定该待测流量报文是基于已知IP地址发起的请求报文,属于正常流量报文。而倘若目的IP不在主机访问列表中,则可确定该待测流量报文具有可疑性,需要进一步进行检测。例如,确定出该待测流量报文的源IP,接着计算确定由该源IP在一时间段内发起请求的速率,以基于该速率确定该待测流量报文是否属于地址扫描行为。
基于上述实施例的公开可以获知,本实施例具备的有益效果包括通过检测待测流量的目的IP,并对其目的IP进行检测,确定其是否存储在主机访问列表中,以基于此来确定该目的IP是否大概率上为正常的具有实体主机的IP地址,若不是,则可确定待测流量报文的源IP,并计算由该源IP发起访问请求的速率,最终基于该速率确定是否表征该待测流量报文属于恶意的地址扫描行为。上述方法可规避掉正常业务流量,使仅对可疑流量进行安全检测,同时可以对低速率的地址扫描行为进行检测,提高了检测效率及精度,降低了误判率。
进一步地,本实施例中的方法还包括:
获得正常流量报文;
解析正常流量报文,确定整成流量报文的源IP、目的IP;
基于正常流量报文的源IP、目的IP建立主机访问表;
记录对应正常流量报文的源IP、目的IP的访问次数,并将访问次数写入主机访问表中。
例如,如图2所示,本实施例中的正常流量报文具体可以是TCP三次握手或者UDP双向报文,当然也可为其他安全类型的报文。基于该正常流量的报文,网关或设置在网关中的学习模型可以解析正常流量报文,确定并学习正常流量报文的IP,包括源IP和目的IP,接着至少基于该源IP和目的IP建立主机访问表。该主机访问表仅初始化一次。当建立好主机访问表后,网关或学习模型接收网络流量报文,并识别、记录对应正常流量访问报文的源IP,目的IP的访问次数,之后将该访问次数对应添加在主机访问表中,且可基于实际访问情况而实时更新主机访问表。
进一步地,本实施例中的方法还包括:
在确定待测流量报文为正常流量报文,且待测流量报文未记录在主机访问表中时,至少记录待测流量报文的源IP、目的IP至主机访问表中。
例如,当确定目的IP存储在主机访问表中,或基于访问速率的计算、分析,确定访问速率符合标准时,均可确定待测流量报文为正常流量报文,此时,若目的IP位于主机访问表中,网关则将主机访问表中对应IP的访问次数进行更新,即增加1次访问次数。而若目的IP未记录在主机访问表中,则可将该待测流量报文的源IP以及目的IP均记录在主机访问表中,同时记录访问次数为1。
进一步地,继续结合图2所示,本实施例中的方法还包括:
确定主机访问表中记录的信息在主机访问表中存储的时长,若时长超出时间阈值,则对信息进行清零。
在本实施例中,记录在主机访问表中的信息并不是永久性保存的,是会定时清除的,例如在首次记录某正常流量报文的源IP,目的IP时,同时记录当前网关的本地时间戳,之后开始计时,当确定该条信息存储在主机访问表中的时长超出预置的时间阈值时,则自动清清除,表中剩余的信息用于后续检测。该种方法可以保证用于实现正常流量报文检测的数据是定时更新的,即便是硬件主机发生损坏,或者被移除时,均不会影响网关的流量检测,同时恶意第三方也无法基于已确定在主机访问表中的主机IP发起大量的访问请求,实施攻击,因为倘若发起攻击,其访问速率必然是不满足预置条件的,会被网关发现其恶意行为。而且,基于该方法还可以对低访问速率的地址扫描行为进行检测,因为其每次检测极有可能都需要经历主机访问表、访问速率的检测,进而有效确定出其访问行为的异常。
可选地,本实施例中的方法还包括:
确定待测流量报文的源IP是否记录在可疑地址表中,可疑地址表用于记录确定发起了地址扫描行为,以及疑似发起了地址扫描行为的IP地址;
若记录在可疑地址表中,则计算由待测流量报文的源IP发起访问的速率;
若未记录在可疑地址表中,则将待测流量报文的源IP地址记录在可疑地址表中。
其中,基于速率确定待测流量报文是否属于地址扫描行为,包括:
基于速率与设定的阈值进行比对,基于比对结果确定待测流量报文是否属于地址扫描行为。
如图3所示,本实施例中,首先创建一可疑地址表,并对可疑地址表进行初始化,该可疑地址表同样只初始化一次。该可以地址表中以确定为可疑流量报文的源IP和基于该源IP发起访问请求的次数实现构建,也即该表中记录有目的IP不存在于主机访问表中的待测流量报文的源IP,及其访问次数。具体地,在网关获取网络流量,即待测流量报文时,如该报文为SYN报文,对网关中的该SYN报文进行解析,获得其访问的目的IP。接着基于目的IP,在主机访问表中进行匹配查询,以确定该目的IP是否存在于主机访问表中,如果可以查询到对应的目的IP,则确定为正常流量报文,此时跳过检测,仅在主机流量报文中更新记录该目的IP的访问次数,而在可疑地址表中不做任何记录。而倘若没有查询到对应的目的IP,网关则认定其为可疑的扫描地址行为,此时,网关会确定该流量报文的源IP,并判断该源IP是否存在于可疑地址表中,如果不存在,则将其源IP写入可疑地址表中,并对应更新该源IP的访问次数;而如果该源IP存在于可疑地址表中,则基于该可疑地址表确定对应该源IP在单位时间内增加的访问次数,以基于该次数来对该源IP的访问速率进行计算。如果计算得到的速率值小于设定阈值,则认为该待测流量报文为正常流量报文,跳过检测,直接放行;而如果速率值大于设定阈值,则认定其为地址扫描行为。上述地设定阈值具体数值不定,例如可以为10个,或者也可为13个,15个等,假设一分钟内,由该源IP发起的访问主机访问表中不存在的IP超过10个,则网关便可认定该访问行为为地址扫描行为。
如图4所示,本发明另一实施例同时提供一种地址扫描行为检测装置,包括:
第一获得模块,用于获得待测流量报文;
第一确定模块,用于至少确定所述待测流量报文的目的IP;
第二确定模块,用于确定主机访问表中是否记录有所述目的IP,所述主机访问表基于正常流量报文的访问信息建立,所述主机访问表中记录有与所述正常流量报文相关地IP信息;
第三确定模块,用于在所述主机访问表中未记录所述目的IP时,确定所述待测流量报文的源IP;
计算模块,用于至少确定对应所述源IP发起访问的速率;
判断模块,用于根据所述速率确定所述待测流量报文是否属于地址扫描行为。
基于上述实施例的公开可以获知,本实施例具备的有益效果包括通过检测待测流量的目的IP,并对其目的IP进行检测,确定其是否存储在主机访问列表中,以基于此来确定该目的IP是否大概率上为正常的具有实体主机的IP地址,若不是,则可确定待测流量报文的源IP,并计算由该源IP发起访问请求的速率,最终基于该速率确定是否表征该待测流量报文属于恶意的地址扫描行为。上述方法可规避掉正常业务流量,使仅对可疑流量进行安全检测,同时可以对低速率的地址扫描行为进行检测,提高了检测效率及精度,降低了误判率。
作为一可选实施例,所述装置还包括:
第二获得模块,用于获得正常流量报文;
解析模块,用于解析所述正常流量报文,确定所述整成流量报文的源IP、目的IP;
建立模块,用于根据所述正常流量报文的源IP、目的IP建立所述主机访问表;
第一记录模块,用于记录对应所述正常流量报文的源IP、目的IP的访问次数,并将所述访问次数写入所述主机访问表中。
作为一可选实施例,所述装置还包括:
第二记录模块,用于在确定所述待测流量报文为正常流量报文,且所述待测流量报文未记录在所述主机访问表中时,至少记录所述待测流量报文的源IP、目的IP至所述主机访问表中。
作为一可选实施例,所述装置还包括:
第四确定模块,用于确定所述待测流量报文的源IP是否记录在可疑地址表中,所述可疑地址表用于记录确定发起了地址扫描行为,以及疑似发起了地址扫描行为的IP地址;
若记录在所述可疑地址表中,则计算由所述待测流量报文的源IP发起访问的速率。
作为一可选实施例,所述装置还包括:
第三记录模块,用于在确定未记录在所述可疑地址表中,则将所述待测流量报文的源IP地址记录在所述可疑地址表中。
作为一可选实施例,所述基于所述速率确定所述待测流量报文是否属于地址扫描行为,包括:
基于所述速率与设定的阈值进行比对,基于比对结果确定所述待测流量报文是否属于地址扫描行为。
作为一可选实施例,所述装置还包括:
第五确定模块,用于确定所述主机访问表中记录的信息在所述主机访问表中存储的时长,若所述时长超出时间阈值,则对所述信息进行清零。
本发明另一实施例还提供一种电子设备,包括:
一个或多个处理器;
存储器,配置为存储一个或多个程序;
当该一个或多个程序被该一个或多个处理器执行时,使得该一个或多个处理器实现上述方法。
本发明一实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
本发明实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
需要说明的是,本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输配置为由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、天线、光缆、RF等等,或者上述的任意合适的组合。
应当理解,虽然本申请是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (10)
1.一种地址扫描行为检测方法,其特征在于,包括:
获得待测流量报文;
至少确定所述待测流量报文的目的IP;
确定主机访问表中是否记录有所述目的IP,所述主机访问表基于正常流量报文的访问信息建立,所述主机访问表中记录有与所述正常流量报文相关地IP信息;
若所述主机访问表中未记录所述目的IP,则确定所述待测流量报文的源IP;
至少确定对应所述源IP发起访问的速率;
基于所述速率确定所述待测流量报文是否属于地址扫描行为。
2.根据权利要求1所述的方法,其特征在于,还包括:
获得正常流量报文;
解析所述正常流量报文,确定所述整成流量报文的源IP、目的IP;
基于所述正常流量报文的源IP、目的IP建立所述主机访问表;
记录对应所述正常流量报文的源IP、目的IP的访问次数,并将所述访问次数写入所述主机访问表中。
3.根据权利要求1所述的方法,其特征在于,还包括:
在确定所述待测流量报文为正常流量报文,且所述待测流量报文未记录在所述主机访问表中时,至少记录所述待测流量报文的源IP、目的IP至所述主机访问表中。
4.根据权利要求1所述的方法,其特征在于,还包括:
确定所述待测流量报文的源IP是否记录在可疑地址表中,所述可疑地址表用于记录确定发起了地址扫描行为,以及疑似发起了地址扫描行为的IP地址;
若记录在所述可疑地址表中,则计算由所述待测流量报文的源IP发起访问的速率。
5.根据权利要求4所述的方法,其特征在于,还包括:
若未记录在所述可疑地址表中,则将所述待测流量报文的源IP地址记录在所述可疑地址表中。
6.根据权利要求1所述的方法,其特征在于,所述基于所述速率确定所述待测流量报文是否属于地址扫描行为,包括:
基于所述速率与设定的阈值进行比对,基于比对结果确定所述待测流量报文是否属于地址扫描行为。
7.根据权利要求3所述的方法,其特征在于,还包括:
确定所述主机访问表中记录的信息在所述主机访问表中存储的时长,若所述时长超出时间阈值,则对所述信息进行清零。
8.一种地址扫描行为检测装置,其特征在于,包括:
第一获得模块,用于获得待测流量报文;
第一确定模块,用于至少确定所述待测流量报文的目的IP;
第二确定模块,用于确定主机访问表中是否记录有所述目的IP,所述主机访问表基于正常流量报文的访问信息建立,所述主机访问表中记录有与所述正常流量报文相关地IP信息;
第三确定模块,用于在所述主机访问表中未记录所述目的IP时,确定所述待测流量报文的源IP;
计算模块,用于至少确定对应所述源IP发起访问的速率;
判断模块,用于根据所述速率确定所述待测流量报文是否属于地址扫描行为。
9.根据权利要求1所述的地址扫描行为检测装置,其特征在于,还包括:
第二获得模块,用于获得正常流量报文;
解析模块,用于解析所述正常流量报文,确定所述整成流量报文的源IP、目的IP;
建立模块,用于根据所述正常流量报文的源IP、目的IP建立所述主机访问表;
第一记录模块,用于记录对应所述正常流量报文的源IP、目的IP的访问次数,并将所述访问次数写入所述主机访问表中。
10.根据权利要求1所述的地址扫描行为检测装置,其特征在于,还包括:
第二记录模块,用于在确定所述待测流量报文为正常流量报文,且所述待测流量报文未记录在所述主机访问表中时,至少记录所述待测流量报文的源IP、目的IP至所述主机访问表中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111383518.4A CN114070633A (zh) | 2021-11-22 | 2021-11-22 | 一种地址扫描行为检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111383518.4A CN114070633A (zh) | 2021-11-22 | 2021-11-22 | 一种地址扫描行为检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114070633A true CN114070633A (zh) | 2022-02-18 |
Family
ID=80278797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111383518.4A Pending CN114070633A (zh) | 2021-11-22 | 2021-11-22 | 一种地址扫描行为检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114070633A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN110636086A (zh) * | 2019-11-13 | 2019-12-31 | 国家电网有限公司 | 网络防护测试方法及装置 |
CN113114663A (zh) * | 2021-04-08 | 2021-07-13 | 北京威努特技术有限公司 | 一种基于扫描报文行为的判定方法及装置 |
-
2021
- 2021-11-22 CN CN202111383518.4A patent/CN114070633A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN110636086A (zh) * | 2019-11-13 | 2019-12-31 | 国家电网有限公司 | 网络防护测试方法及装置 |
CN113114663A (zh) * | 2021-04-08 | 2021-07-13 | 北京威努特技术有限公司 | 一种基于扫描报文行为的判定方法及装置 |
Non-Patent Citations (1)
Title |
---|
岑守念;: "数字化校园内网网络安全性设计探讨", 信息与电脑(理论版), no. 02 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114760216A (zh) * | 2022-04-12 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
CN114760216B (zh) * | 2022-04-12 | 2023-12-05 | 国家计算机网络与信息安全管理中心 | 一种扫描探测事件确定方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
CN108881211B (zh) | 一种违规外联检测方法及装置 | |
US9813451B2 (en) | Apparatus and method for detecting cyber attacks from communication sources | |
CN109660539B (zh) | 失陷设备识别方法、装置、电子设备及存储介质 | |
CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
WO2018032936A1 (zh) | 一种对算法生成域名进行检测的方法及装置 | |
WO2015078388A1 (zh) | 针对拒绝服务攻击的处理方法及装置 | |
CN105306445A (zh) | 用于检测服务器的漏洞的系统和方法 | |
CN110313147A (zh) | 数据处理方法、装置和系统 | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
WO2015062541A1 (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
CN113472772B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
CN112600908A (zh) | 一种通信链路的获取方法、装置、设备及存储介质 | |
CN113765846A (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
CN113688291A (zh) | 一种流媒体网络数据的异常行为检测方法和装置 | |
CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
CN114244801B (zh) | 一种基于政企网关的防arp欺骗方法及系统 | |
CN114070633A (zh) | 一种地址扫描行为检测方法及装置 | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
WO2024113953A1 (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
KR20170054215A (ko) | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 | |
CN113839948B (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |