CN114244632B - 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 - Google Patents
检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114244632B CN114244632B CN202210168266.1A CN202210168266A CN114244632B CN 114244632 B CN114244632 B CN 114244632B CN 202210168266 A CN202210168266 A CN 202210168266A CN 114244632 B CN114244632 B CN 114244632B
- Authority
- CN
- China
- Prior art keywords
- icmp
- address
- node
- communication structure
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质,该方法首先获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息,然后基于实时数据,更新历史ICMP通信结构图,得到新的ICMP通信结构图;再基于实时数据的源IP地址及新的ICMP通信结构图,确定源IP地址对应的节点的特征信息;之后基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到新的ICMP通信结构图中每个节点对应的键值对,最后通过建模判断是否存在ICMP网络扫描攻击行为。由此该方能够及时检测出ICMP网络扫描攻击行为,提高了网络的安全性。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质。
背景技术
网络扫描是网络攻击中的一种信息收集手段,当网络中某个主机被渗透后,攻击者会利用该主机作为跳板对局域网内其他主机进行扫描,其目的是确定哪些IP地址已连接计算机。而网络控制消息协议(Internet Control Message Protocol,ICMP)具有探测主机是否存在、是否可达、路由是否可用等功能。基于此,网络攻击者能够利用ICMP扫描精确定位到网络中主机的IP分配。因此,及时发现基于ICMP扫描的攻击行为就尤为重要。
在现有技术中,检测基于ICMP扫描的攻击行为的方法为:首先需要在预定的时间周期内获取网络数据并提取扫描特征,然后利用扫描特征和分类器检测是否存在攻击行为。但是,该方法需要在预定的时间周期内获取网络数据作为分析攻击行为的基础,也就是说每隔一定的时间段才对网络数据进行收集,这样就很难及时检测出攻击行为,导致网络安全性降低。
发明内容
本发明的目的在于提供一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质,主要目的在于解决以上现有技术中的技术问题。
第一方面,根据本发明的实施例,提供了一种检测ICMP网络扫描攻击行为的方法,包括:
获取实时数据、所述实时数据的源IP地址、历史ICMP通信结构图以及所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,其中,所述历史ICMP通信结构图为以IP地址为节点且以ICMP通信记录为边的图数据结构,所述特征信息包括特征类型及对应的特征值;
基于所述实时数据,更新所述历史ICMP通信结构图,得到新的ICMP通信结构图;
基于所述实时数据的源IP地址及所述新的ICMP通信结构图,确定所述源IP地址对应的节点的特征信息,以实时获得所述实时数据的特征信息;
基于所述源IP地址、所述源IP地址对应的节点的特征信息、所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到所述新的ICMP通信结构图中每个节点对应的键值对,其中,每个所述键值对包括每个节点的IP地址及对应的特征信息;
基于所有所述键值对,通过建模判断是否存在ICMP网络扫描攻击行为。
在一些可能实现的方式中,所述通过建模判断是否存在ICMP网络扫描攻击行为,包括:
对所有所述键值对进行无监督学习,判断是否存在异常键值对;
如果存在异常键值对,则获取所述异常键值对,并判定所述异常键值对是否为ICMP网络扫描攻击行为数据;
如果所述异常键值对为ICMP网络扫描攻击行为数据,则确定存在ICMP网络扫描攻击行为。
在一些可能实现的方式中,所述判定所述异常键值对是否为ICMP网络扫描攻击行为数据,包括:
基于所述异常键值对的特征信息,得到所述异常键值对的分数值;
判断所述异常键值对的分数值是否大于或等于第一预设分数值,当所述异常键值对的分数值大于或等于第一预设分数值,则确定所述异常键值对为ICMP网络扫描攻击行为数据。
在一些可能实现的方式中,所述基于所述异常键值对的特征信息,得到所述异常键值对的分数值,包括:
将所述异常键值对的特征类型划分为多个类型集合;
根据每个所述类型集合中各特征类型对应的特征值,确定每个所述类型集合的分数值;
获取每个所述类型集合对应的权重值;
利用每个所述类型集合的分数值及每个所述类型集合对应的权重值,进行加权平均计算,得到所述异常键值对的分数值。
在一些可能实现的方式中,所述基于所述实时数据,更新所述历史ICMP通信结构图,得到新的ICMP通信结构图,包括:
根据所述实时数据,确定发送所述实时数据的设备的IP地址、接收所述实时数据的设备的IP地址以及各设备之间的实时数据的交互关系;
基于所述历史ICMP通信结构图,以发送所述实时数据的设备的IP地址及接收所述实时数据的设备的IP地址为新的节点,各设备之间的实时数据的交互关系为新的边,得到新的ICMP通信结构图。
在一些可能实现的方式中,所述基于所述源IP地址、所述源IP地址对应的节点的特征信息、所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到所述新的ICMP通信结构图中每个节点对应的键值对,包括:
基于所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,生成多个第一初始键值对,其中,每个所述第一初始键值对包括所述历史ICMP通信结构图的节点的特征类型及对应的IP地址及特征值;
基于所述源IP地址、所述源IP地址对应的节点的特征信息,生成多个第二初始键值对,其中,每个所述第二初始键值对包括所述源IP地址对应的节点的特征类型及对应的源IP地址及特征值;
将所述第一初始键值对的特征类型及对应的IP地址与所述第二初始键值对的特征类型及源IP地址进行匹配,如果匹配成功,则将第一初始键值对的特征值替换为相匹配的第二初始键值对的特征值;如果匹配失败,则存储匹配失败的第二初始键值对;
将所有所述第一初始键值对及所述第二初始键值进行整合,得到所述新的ICMP通信结构图中每个节点对应的键值对。
在一些可能实现的方式中,所述无监督学习采用孤立森林算法。
第二方面,根据本发明的实施例,提供了一种检测ICMP网络扫描攻击行为的装置,包括:
获取模块,用于获取实时数据、所述实时数据的源IP地址、历史ICMP通信结构图以及所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,其中,所述历史ICMP通信结构图中各节点对应传输数据的设备,各边表征各设备之间的数据交互关系,所述特征信息包括特征类型及对应的特征值;
更新模块,用于基于所述实时数据,更新所述历史ICMP通信结构图,得到新的ICMP通信结构图;
确定模块,基于所述实时数据的源IP地址及所述新的ICMP通信结构图,确定所述源IP地址对应的节点的特征信息,以实时获得所述实时数据的特征信息;
键值对生成模块,用于基于所述源IP地址、所述源IP地址对应的节点的特征信息、所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到所述新的ICMP通信结构图中每个节点对应的键值对,其中,每个所述键值对包括每个节点的IP地址及对应的特征信息;
判断模块,用于基于所有所述键值对,通过建模判断是否存在ICMP网络扫描攻击行为。
第三方面,根据本发明的实施例,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述检测ICMP网络扫描攻击行为的方法对应的操作。
第四方面,根据本发明的实施例,提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行上述检测ICMP网络扫描攻击行为的方法对应的操作。
本发明实施例提供了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质,该方法对实时数据进行处理,能够实时获得所述实时数据的特征信息,然后基于实时获得的特征信息作为模型的新的输入,再通过建模判断是否存在ICMP网络扫描攻击行为,从而实现实时监测是否存在ICMP网络扫描攻击行为的目的,这样就能够及时发现ICMP网络扫描攻击行为,提高了网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的检测ICMP网络扫描攻击行为的方法的流程图;
图2为本发明一实施例提供的设备所组成的系统架构示意图;
图3为本发明一实施例提供的历史ICMP通信结构图;
图4为本发明一实施例提供的ICMP通信结构图;
图5为本发明另一实施例提供的ICMP通信结构图;
图6为本发明一实施例提供的步骤S105的流程图;
图7为本发明一实施例提供的步骤S102的流程图;
图8为本发明又一实施例提供的设备所组成的系统架构示意图;
图9为本发明又一实施例提供的ICMP通信结构图;
图10为本发明一实施例提供的步骤S104的流程图;
图11为本发明一实施例提供的步骤S202中判定异常键值对是否为ICMP网络扫描攻击行为数据的流程图;
图12为本发明一实施例提供的步骤S401的流程图;
图13为本发明一实施例提供的检测ICMP网络扫描攻击行为的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一方面,如图1所示,根据本发明的实施例,提供了一种检测ICMP网络扫描攻击行为的方法,包括:
步骤S101:获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息,其中,历史ICMP通信结构图为以IP地址为节点且以ICMP通信记录为边的图数据结构,特征信息包括特征类型及对应的特征值。
其中,数据包括发送端设备发送的ICMP请求报文及目的端设备发送的ICMP回复报文。发送端设备与目的端设备基于ICMP协议进行网络通信时,发送端设备构造ICMP请求报文,并发送给目的端设备,目的端设备接收到ICMP请求报文时,向发送端设备发送ICMP回复报文。发送端设备可以通过中间节点向目的端设备发送ICMP请求报文,相应地,目的端设备可以通过相应的中间节点向发送端设备发送ICMP回复报文,发送端设备和目的端设备之间可以具有多个中间节点,中间节点可以为网关设备,还可以是任何具有报文转发功能的设备,例如可以是交换机、路由器等设备。
本实施例中的设备可以作为发送端设备,也可以作为目的端设备,也可以同时作为发送端设备及目的端设备。其中,设备可以是平板电脑、笔记本电脑、台式计算机等,但不限于此。
示例性的,图2为由本实施例中的设备所组成的系统架构示意图,如图2所示,该系统包括三个设备,分别是第一设备110、第二设备120及第三设备130,其中,第一设备110分别向第二设备120及第三设备130发送ICMP请求报文,第二设备120接收到第一设备110发送的ICMP请求报文后,向第一设备110发送ICMP回复报文,同样地,第三设备130接收到第一设备110发送的ICMP请求报文后,向第一设备110发送ICMP回复报文,并且第二设备120也向第三设备130发送ICMP请求报文,第三设备130接收到第二设备120发送的ICMP请求报文后,向第二设备120发送ICMP回复报文。可以看出,第一设备110为发送端设备,第二设备120既为发送端设备也为目的端设备,第三设备130为目的端设备。
在本实施中的实时数据是指在当前时刻,发送端设备正在发送的ICMP请求报文及目的端设备正在发送的ICMP回复报文。
实时数据的源IP地址具体为:如果在当前时刻,一设备向另一设备发送的是ICMP请求报文,则该实时数据(ICMP请求报文)的源IP地址为发送该ICMP请求报文的设备的IP地址。如果在当前时刻,一设备向另一设备发送的是ICMP回复报文,则该实时数据(ICMP回复报文)的源IP地址为接收该ICMP回复报文的设备的IP地址。示例性的,继续以图2所示的系统构架示意图为例,如果在当前时刻,第一设备110向第二设备120发送ICMP请求报文,则该ICMP请求报文的源地址为第一设备110的IP地址。如果在当前时刻,第二设备120向第一设备110发送ICMP回复报文,则该ICMP回复报文的源地址为第一设备110的IP地址。
历史ICMP通信结构图为依据在当前时刻之前,各设备之间所传输的ICMP通信记录而建立的。其中,ICMP通信结构图中各节点对应传输数据的设备的IP地址,各边表征各设备之间的数据交互关系。示例性的,假设图2所示出的第一设备110、第二设备120及第三设备130之间的数据交互情况为当前时刻之前,各设备之前所传输的数据情况,则相应的历史ICMP通信结构图如图3所示,其中,第一设备110的IP地址为第一节点210、第二设备120的IP地址为第二节点220,第三设备130的IP地址为第三节点230;而第一设备110向第二设备120发送的ICMP请求报文,则定义为第一设备110指向第二设备120的边,记作第一边310;第一设备110向第三设备130发送的ICMP请求报文,则定义为第一设备110指向第二设备130的边,记作第二边320;第二设备120向第一设备110发送ICMP回复报文,则定义为第二设备120指向第一设备110的边,记作第三边330;第三设备130向第一设备110发送ICMP回复报文,则定义为第三设备130指向第一设备110的边,记作第四边340;第二设备120向第三设备130发送ICMP请求报文,则定义为第二设备120指向第三设备130的边,记作第五边350;第三设备130向第二设备120发送ICMP回复报文,则定义第三设备130指向第二设备120的边,记作第六边360。
特征信息包括特征类型及对应的特征值,其中,特征类型包括目标设备数量、请求失败设备数量、目标网段数、请求次数、请求失败次数、请求差分、请求的网段差分以及IP请求方差。每个特征类型根据各设备之间的数据交互情况具有相应的特征值。
具体地,目标设备数量为在ICMP通信结构图中,每个节点的邻居节点的数量。其中,邻居节点是指与该节点之间再无其他节点的节点,示例性的,以图3中的第一节点210为例,第一节点210的邻居节点为第二节点220与第三节点230,由此第一节点210的目标设备数量对应的特征值为2。
请求失败设备数量为在ICMP通信结构图中,每个节点的邻居节点中,没有指向该节点的边的邻居节点的数量。示例性的,以图4中的第一节点210为例,第一节点210的邻居节点为第二节点220与第三节点230,第二节点220有指向第一节点210的边,而第三节点230没有指向第一节点210的边,由此,第一节点210的请求失败设备数量对应的特征值为1。
目标网段数为每个节点的邻居节点的IP段总数,以图3为例中的第一节点210为例,第一节点210的邻居节点为第二节点220及第三节点230,假设第二节点220的IP地址是192.168.0.110,IP段是192.168.0.1—192.168.0.254;第三节点230的IP地址是211.158.10.5,IP段是211.158.10.1-211.158.10.254,由此,第二节点220与第三节点230处于不同的IP段,那么第一节点210的目标网段数对应的特征值为2,而如果第三节点230的IP地址为192.168.0.125,则第二节点220及第三节点230的IP段相同,那么第一节点210的目标网段数对应的特征值为1。进一步地,由第一节点210的IP地址,也可以确定第一节点210的IP段,然后再将第一节点210的IP段作为第一节点210的一个属性进行存储。
请求次数为在ICMP通信结构图中,每个节点指向邻居节点的总边数。示例性的,以图5中的第一节点210为例,第一节点210的邻居节点为第二节点220及第三节点230,而第一节点210指向第二节点220的边数为1,第一节点210指向第三节点230的边数为1,则第一节点210的请求次数对应的特征值为2。
请求失败次数为在ICMP通信结构图中,每个节点指向邻居节点的总边数与邻居节点指向该节点的总边数的差值。示例性的,以图4中的第一节点210为例,第一节点210的邻居节点为第二节点220及第三节点230,而第一节点210指向第二节点220及第三节点230的总边数为2,而仅第二节点220有指向第一节点210的边,第三节点230没有指向第一节点210的边,由此,邻居节点指向第一节点210的总边数为1,最终,第一节点210的请求失败次数对应的特征值为1。
请求差分为将每个节点指向各邻居节点的边数进行差分计算所得的结果,示例性的,以图3中的第一节点210为例,第一节点210的邻居节点为第二节点220及第三节点230,第一节点210指向第二节点220的边数为1,第一节点210指向第三节点230的边数为1,由此,第一节点210的请求差分对应的特征值为第一节点210指向第二节点220的边数与第一节点210指向第三节点230的边数的差分值。
请求的网段差分是将每个节点的各邻居节点所在网段数进行差分计算所得的结果。示例性的,以图3中的第一节点210为例,第一节点210的邻居节点为第二节点220及第三节点230,第二节点220的网段是192.168.0.1—192.168.0.254,第三节点230的网段是211.158.10.1-211.158.10.254,由此,第一节点210的请求的网段差分的特征值为两个网段的差分值。
IP请求方差是将每个节点指向各邻居节点的边数进行方差计算所得的结果,示例性的,以图3中的第一节点210为例,第一节点210的邻居节点为第二节点220及第三节点230,第一节点210指向第二节点220的边数为1,第一节点210指向第三节点230的边数为1,由此,第一节点210的IP请求方差对应的特征值为第一节点210指向第二节点220的边数与第一节点210指向第三节点230的边数的方差值。
步骤S102:基于实时数据,更新历史ICMP通信结构图,得到新的ICMP通信结构图。
根据实时数据及时更新ICMP通信结构图,从而为后续的ICMP网络扫描攻击行为分析提供准确的依据,提高检测的准确性及时效性。
步骤S103:基于实时数据的源IP地址及新的ICMP通信结构图,确定源IP地址对应的节点的特征信息,以实时获得实时数据的特征信息。
实时数据改变了历史ICMP通信结构图的拓扑结构,由此需要依据新的ICMP通信结构图,确定实时数据对应的节点的特征信息。
步骤S104:基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到新的ICMP通信结构图中每个节点对应的键值对,其中,每个键值对包括每个节点的IP地址及对应的特征信息。
步骤S105:基于所有键值对,通过建模判断是否存在ICMP网络扫描攻击行为。
本发明实施例提供了一种检测ICMP网络扫描攻击行为的方法,该方法对实时数据进行处理,能够实时获得所述实时数据的特征信息,然后基于实时获得的特征信息作为模型的新的输入,再通过建模判断是否存在ICMP网络扫描攻击行为,从而实现实时监测是否存在ICMP网络扫描攻击行为的目的,这样就能够及时发现ICMP网络扫描攻击行为,提高了网络的安全性。
在具体应用中,如图6所示,上述实施例中的步骤S105具体包括:
步骤S201:对所有键值对进行无监督学习,判断是否存在异常键值对;如果存在异常键值对,则执行步骤S202。
在本步骤中,通过无监督学习能够区分出异常键值对及正常键值对,从而后续再针对异常键值对进行分析判断,以确定异常键值对是否是攻击。其中,无监督学习采用孤立森林算法。
孤立森林算法为在孤立森林中,递归地随机分割数据集,直到所有的样本点都是孤立的。在这种随机分割的策略下,异常键值对通常具有较短的路径。
在该算法中,给定一个包含n个样本的数据集,树的平均路径长度为:
其中,H(n-1)为调和数,其中,H(n-1)=ln(n)+0.5772156649。
为给定样本数n时,路径长度的平均值,其中,n≥1,且n为正整数。
样本x的异常得分定义为:
其中,样本x为n个样本中的任意一个样本,h(x)为样本x的路径长度。E(h(x))为样本x在一批孤立树中的路径长度的期望,
为给定样本数n时,路径长度的平均值。
在本实施例中,各键值对为上述公式的样本x,根据上述公式计算得到各键值对的异常得分,将异常得分与第二预设分数值进行比较,将异常得分大于或者等于第二预设分数值的键值对确定为异常键值对,将异常得分小于第二预设分数值的键值对确定为正常键值对。
步骤S202:获取异常键值对,并判定异常键值对是否为ICMP网络扫描攻击行为数据。如果异常键值对为ICMP网络扫描攻击行为数据,则执行步骤S203。
步骤S203:确定存在ICMP网络扫描攻击行为。
在本实施例中,利用无监督学习来区分出异常键值对,然后再对异常键值对进行进一步分析来判断是否为ICMP网络扫描攻击行为数据,从而通过建模判断是否存在ICMP网络扫描攻击行为。相比于现有技术中需要用大量已知ICMP网络扫描攻击行为数据作为样本进行有监督学习来得到分类器,然后再利用分类器来区分ICMP网络扫描攻击行为数据,本实施例中的无监督学习无需采集大量已知ICMP网络扫描攻击行为数据作为样本,避免了采集大量样本,降低了工作人员的工作量,同时也避免了已知ICMP网络扫描攻击行为数据采集不全面而导致检测结果不准确的问题,提高了检测的准确性,并且该方法适用于不支持采集已知ICMP网络扫描攻击行为数据的应用场景,提高了该方法的适用性,另外,该方法也避免基于已知ICMP网络扫描攻击行为数据训练得到的分类器无法检测新的ICMP网络扫描攻击行为数据的情况发生。
进一步地,在上述实施例中,如图7所示,步骤S102具体包括:
步骤S301:根据实时数据,确定发送实时数据的设备的IP地址、接收实时数据的设备的IP地址以及各设备之间的实时数据的交互关系。
步骤S302:基于历史ICMP通信结构图,以发送实时数据的设备的IP地址及接收实时数据的设备的IP地址为新的节点,各设备之间的实时数据的交互关系为新的边,得到新的ICMP通信结构图。
示例性的,以图8的系统架构图为例,实时数据为由第一设备110向第四设备140发送ICMP请求报文的情况下,在历史ICMP通信结构图的基础上新增第四设备140的IP地址作为新的节点,即第四节点240,并且增加第一节点210指向第四节点240的边,从而得到新的ICMP通信结构图,如图9所示。
进一步地,如图10所示,上述实施例中的步骤S104具体包括:
步骤S401:基于历史ICMP通信结构图的各节点的IP地址及对应的特征信息,生成多个第一初始键值对,其中,每个第一初始键值对包括历史ICMP通信结构图的节点的特征类型及对应的IP地址及特征值。
在上述实施例中,对特征信息已经进行详细阐述,在此不再赘述。基于各节点的IP地址及对应的特征信息,生成第一初始键值对,第一初始键值对的表现形式为特征名称:{IP:特征值}。示例性的,假设一个节点的IP地址是192.168.0.125,该节点的目标设备数量的特征值是2、请求失败设备数量的特征值是0、目标网段数的特征值是1、请求次数的特征值是2、请求失败次数的特征值是0、请求差分的特征值是0、请求的网段差分是5以及IP请求方差是0。由此,该节点的第一初始键值对分别为目标设备数量:{192.168.0.125:2},请求失败设备数量:{192.168.0.125:0},目标网段数:{192.168.0.125:1},请求特征值:{192.168.0.125:2},请求失败次数:{192.168.0.125:0},请求差分:{192.168.0.125:0},请求的网段差分:{192.168.0.125:5},IP请求方差:{192.168.0.125:0}。
步骤S402:基于源IP地址、源IP地址对应的节点的特征信息,生成多个第二初始键值对,其中,每个第二初始键值对包括源IP地址对应的节点的特征类型及对应的源IP地址及特征值。
通过源IP地址可以确定其所属的设备,基于该设备就可查找到在新的ICMP通信结构图中相应的节点,这样就可得到该节点对应的特征信息,从而得到多个第二初始键值对,第二初始键值对的表现形式为特征名称:{源IP:特征值},示例性的,假设源IP地址是192.168.0.121,源IP对应的节点的目标设备数量的特征值是2、请求失败设备数量的特征值是0、目标网段数的特征值是1、请求次数的特征值是2、请求失败次数的特征值是0、请求差分的特征值是0、请求的网段差分是5以及IP请求方差是0。由此,该节点的第一初始键值对分别为目标设备数量:{192.168.0.121:2},请求失败设备数量:{192.168.0.121:0},目标网段数:{192.168.0.121:1},请求特征值:{192.168.0.121:2},请求失败次数:{192.168.0.121:0},请求差分:{192.168.0.121:0},请求的网段差分:{192.168.0.121:5},IP请求方差:{192.168.0.121:0}。
步骤S403:将第一初始键值对的特征类型及对应的IP地址与第二初始键值对的特征类型及源IP地址进行匹配,如果匹配成功,则将第一初始键值对的特征值替换为相匹配的第二初始键值对的特征值;如果匹配失败,则存储匹配失败的第二初始键值对。
在本步骤中,将第一初始键值对的特征类型及对应的IP地址与第二初始键值对的特征类型及源IP地址进行匹配,如果匹配成功,则表示在历史ICMP通信结构图中,已经存在该源IP对应的节点及相关的特征信息,这样仅需更新相应的特征值即可。如果匹配失败,则表示在历史ICMP通信结构图中,没有该源IP对应的节点及相关的特征信息,也就是该节点为新增的节点,这样就需将第二初始键值对进行储存。
步骤S404:将所有第一初始键值对及第二初始键值进行整合,得到新的ICMP通信结构图中每个节点对应的键值对。
在本步骤中,通过IP地址的不同将第一初始键值对及第二初始键值对重新组合,从而得到新的网络节点拓扑中每个节点对应的键值对,其中,每个键值对包括每个节点的IP地址及对应的特征信息,具体表现形式为IP:{特征单元名称1:value1, 特征单元名称2:value2,……}。示例性的,192.168.0.121:{目标设备数量:2,请求失败设备数量:0,目标网段数:1,请求特征值:2,请求失败次数:0,请求差分:0,请求的网段差分:5,IP请求方差:0}。
在本步骤通过对第一初始键值与第二初始键值进行重新整合,得到了每个节点的IP所对应的特征信息,从而便于后续对键值对的处理及分析。
进一步地,在上述实施例中,如图11所示,步骤S202中判定异常键值对是否为ICMP网络扫描攻击行为数据具体包括:
步骤S501:基于异常键值对的特征信息,得到异常键值对的分数值。
具体地,如图12所示,该步骤具体包括如下步骤:
步骤S5011:将异常键值对的特征类型划分为多个类型集合。
类型集合包括四个集合,分别为目标广度、失败请求占比、请求次数的规律性及请求目标IP地址的规律性。其中,目标广度包括目标主机数及请求失败主机数;失败请求占比包括请求次数及请求失败次数,请求次数的规律性包括请求差分及IP请求方差,请求目标IP地址的规律性包括目标网段数及请求的网段差分。
在本步骤中,将特征类型划分为四个维度,从而全面对异常键值对进行分析,进而提高了确定异常键值对是否为ICMP网络扫描攻击行为的准确性。
步骤S5012:根据每个类型集合中各特征类型对应的特征值,确定每个类型集合的分数值。
每个类型集合的分数值为对应的每个类型集合中的各特征类型对应的特征值之和。其中,每个类型集合的分数值越大,表示该异常键值为ICMP网络扫描攻击行为数据的可能性越大,也就是存在基于ICMP扫描的网络攻击行为的几率越大。
步骤S5013:获取每个类型集合对应的权重值。
为了提高判断ICMP网络扫描攻击行为数据的准确性,根据每个类型集合对判断结果的影响程度,对每个类型集合配置了相应的权重,目标广度及失败请求占的权重均为20%,请求次数的规律性及请求目标IP地址的规律性的权重均为30%,当然,四个类型集合还可以采用其他的配比权重,工作人员可根据实际情况进行调整,本实施例不做严格限定。
步骤S5014:利用每个类型集合的分数值及每个类型集合对应的权重值,进行加权平均计算,得到异常键值对的分数值。
将每个类型集合的分数值与相对应的权重值相乘,得到相应的乘积结果,然后再将所有的乘积结果进行加权平均计算,得到异常键值对的分数。
步骤S502:判断异常键值对的分数值是否大于或等于第一预设分数值,当异常键值对的分数值大于或等于第一预设分数值,则执行步骤S503。
第一预设分数值可由工作人员自行设置,通常为60-75之间。如果异常键值对的分数值小于第一预设分数值,则确定该异常键值对不为ICMP网络扫描攻击行为数据。
步骤S503:确定异常键值对为ICMP网络扫描攻击行为数据。
在本步骤中,对异常键值对进行进一步判断,以确定是否为ICMP网络扫描攻击行为数据,从而确定是否存在ICMP网络扫描攻击行为。
第二方面,如图13所示,根据本发明的实施例,提供了一种检测ICMP网络扫描攻击行为的装置,包括:
获取模块601,用于获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息,其中,ICMP通信结构图为以IP地址为节点且以ICMP通信记录为边的图数据结构,特征信息包括特征类型及对应的特征值;
更新模块602,用于基于实时数据,更新历史ICMP通信结构图,得到新的ICMP通信结构图;
确定模块603,基于实时数据的源IP地址及新的ICMP通信结构图,确定源IP地址对应的节点的特征信息,以实时获得实时数据的特征信息;
键值对生成模块604,用于基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到新的ICMP通信结构图中每个节点对应的键值对,其中,每个键值对包括每个节点的IP地址及对应的特征信息;
判断模块605,用于基于所有键值对,通过建模判断是否存在ICMP网络扫描攻击行为。
本实施例提供了一种检测ICMP网络扫描攻击行为的装置,该装置对实时数据进行处理,从而通过建模判断是否存在ICMP网络扫描攻击行为,这样就能够及时检测出ICMP网络扫描攻击行为,提高了网络的安全性。
第三方面,根据本发明的实施例,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;存储器用于存放至少一可执行指令,可执行指令使处理器执行上述检测ICMP网络扫描攻击行为的方法对应的操作。
其中:处理器、通信接口、以及存储器通过通信总线完成相互间的通信。
通信接口,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器,用于执行程序,具体可以执行上述检测ICMP网络扫描攻击行为的方法实施例中的相关步骤。
具体地,程序可以包括程序代码,该程序代码包括计算机操作指令。
第四方面,根据本发明的实施例,提供了一种存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行上述检测ICMP网络扫描攻击行为的方法对应的操作。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种检测ICMP网络扫描攻击行为的方法,其特征在于,包括:
获取实时数据、所述实时数据的源IP地址、历史ICMP通信结构图以及所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,其中,所述历史ICMP通信结构图为以IP地址为节点且以ICMP通信记录为边的图数据结构,所述特征信息包括特征类型及对应的特征值;
基于所述实时数据,更新所述历史ICMP通信结构图,得到新的ICMP通信结构图;
基于所述实时数据的源IP地址及所述新的ICMP通信结构图,确定所述源IP地址对应的节点的特征信息,以实时获得所述实时数据的特征信息;
基于所述源IP地址、所述源IP地址对应的节点的特征信息、所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到所述新的ICMP通信结构图中每个节点对应的键值对,其中,每个所述键值对包括每个节点的IP地址及对应的特征信息;
基于所有所述键值对,通过建模判断是否存在ICMP网络扫描攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述基于所有所述键值对,通过建模判断是否存在ICMP网络扫描攻击行为,包括:
对所有所述键值对进行无监督学习,判断是否存在异常键值对;
如果存在异常键值对,则获取所述异常键值对,并判定所述异常键值对是否为ICMP网络扫描攻击行为数据;
如果所述异常键值对为ICMP网络扫描攻击行为数据,则确定存在ICMP网络扫描攻击行为。
3.根据权利要求2所述的方法,其特征在于,所述判定所述异常键值对是否为ICMP网络扫描攻击行为数据,包括:
基于所述异常键值对的特征信息,得到所述异常键值对的分数值;
判断所述异常键值对的分数值是否大于或等于第一预设分数值,当所述异常键值对的分数值大于或等于第一预设分数值,则确定所述异常键值对为ICMP网络扫描攻击行为数据。
4.根据权利要求3所述的方法,其特征在于,所述基于所述异常键值对的特征信息,得到所述异常键值对的分数值,包括:
将所述异常键值对的特征类型划分为多个类型集合;
根据每个所述类型集合中各特征类型对应的特征值,确定每个所述类型集合的分数值;
获取每个所述类型集合对应的权重值;
利用每个所述类型集合的分数值及每个所述类型集合对应的权重值,进行加权平均计算,得到所述异常键值对的分数值。
5.根据权利要求1所述的方法,其特征在于,所述基于所述实时数据,更新所述历史ICMP通信结构图,得到新的ICMP通信结构图,包括:
根据所述实时数据,确定发送所述实时数据的设备的IP地址、接收所述实时数据的设备的IP地址以及各设备之间的实时数据的交互关系;
基于所述历史ICMP通信结构图,以发送所述实时数据的设备的IP地址及接收所述实时数据的设备的IP地址为新的节点,各设备之间的实时数据的交互关系为新的边,得到新的ICMP通信结构图。
6.根据权利要求1所述的方法,其特征在于,所述基于所述源IP地址、所述源IP地址对应的节点的特征信息、所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到所述新的ICMP通信结构图中每个节点对应的键值对,包括:
基于所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,生成多个第一初始键值对,其中,每个所述第一初始键值对包括所述历史ICMP通信结构图的节点的特征类型及对应的IP地址及特征值;
基于所述源IP地址、所述源IP地址对应的节点的特征信息,生成多个第二初始键值对,其中,每个所述第二初始键值对包括所述源IP地址对应的节点的特征类型及对应的源IP地址及特征值;
将所述第一初始键值对的特征类型及对应的IP地址与所述第二初始键值对的特征类型及源IP地址进行匹配,如果匹配成功,则将第一初始键值对的特征值替换为相匹配的第二初始键值对的特征值;如果匹配失败,则存储匹配失败的第二初始键值对;
将所有所述第一初始键值对及所述第二初始键值进行整合,得到所述新的ICMP通信结构图中每个节点对应的键值对。
7.根据权利要求2所述的方法,其特征在于,所述无监督学习采用孤立森林算法。
8.一种检测ICMP网络扫描攻击行为的装置,其特征在于,包括:
获取模块,用于获取实时数据、所述实时数据的源IP地址、历史ICMP通信结构图以及所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,其中,所述历史ICMP通信结构图为以IP地址为节点且以ICMP通信记录为边的图数据结构,所述特征信息包括特征类型及对应的特征值;
更新模块,用于基于所述实时数据,更新所述历史ICMP通信结构图,得到新的ICMP通信结构图;
确定模块,基于所述实时数据的源IP地址及所述新的ICMP通信结构图,确定所述源IP地址对应的节点的特征信息,以实时获得所述实时数据的特征信息;
键值对生成模块,用于基于所述源IP地址、所述源IP地址对应的节点的特征信息、所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息,得到所述新的ICMP通信结构图中每个节点对应的键值对,其中,每个所述键值对包括每个节点的IP地址及对应的特征信息;
判断模块,用于基于所有所述键值对,通过建模判断是否存在ICMP网络扫描攻击行为。
9.一种电子设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7中任一项所述的检测ICMP网络扫描攻击行为的方法对应的操作。
10.一种存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-7中任一项所述的检测ICMP网络扫描攻击行为的方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210168266.1A CN114244632B (zh) | 2022-02-24 | 2022-02-24 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210168266.1A CN114244632B (zh) | 2022-02-24 | 2022-02-24 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244632A CN114244632A (zh) | 2022-03-25 |
| CN114244632B true CN114244632B (zh) | 2022-05-03 |
Family
ID=80748113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210168266.1A Active CN114244632B (zh) | 2022-02-24 | 2022-02-24 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244632B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
| CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN110535888A (zh) * | 2019-10-12 | 2019-12-03 | 广州西麦科技股份有限公司 | 端口扫描攻击检测方法及相关装置 |
| US10848509B1 (en) * | 2017-10-25 | 2020-11-24 | Alphasoc, Inc. | Apparatus and method to analyze DNS traffic to detect anomalies |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
| CN113938458A (zh) * | 2021-10-09 | 2022-01-14 | 佳缘科技股份有限公司 | 一种基于sdn的多属性自调节网络变换系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100974888B1 (ko) * | 2007-11-26 | 2010-08-11 | 한국전자통신연구원 | 비정상 트래픽 탐지 장치 및 방법 |
-
2022
- 2022-02-24 CN CN202210168266.1A patent/CN114244632B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
| US10848509B1 (en) * | 2017-10-25 | 2020-11-24 | Alphasoc, Inc. | Apparatus and method to analyze DNS traffic to detect anomalies |
| CN110535888A (zh) * | 2019-10-12 | 2019-12-03 | 广州西麦科技股份有限公司 | 端口扫描攻击检测方法及相关装置 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
| CN113938458A (zh) * | 2021-10-09 | 2022-01-14 | 佳缘科技股份有限公司 | 一种基于sdn的多属性自调节网络变换系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244632A (zh) | 2022-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| McHugh | Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory | |
| Kayacik et al. | Selecting features for intrusion detection: A feature relevance analysis on KDD 99 intrusion detection datasets | |
| US20080016115A1 (en) | Managing Networks Using Dependency Analysis | |
| CN113328872B (zh) | 故障修复方法、装置和存储介质 | |
| US20210392152A1 (en) | Intrusion detection using robust singular value decomposition | |
| CN109802953B (zh) | 一种工控资产的识别方法及装置 | |
| US8359378B2 (en) | Network system and method of administrating networks | |
| EP3329640B1 (en) | Network operation | |
| CN107683586A (zh) | 用于异常检测中的计算基于小区密度的稀有度的方法和装置 | |
| US20210203686A1 (en) | Reliability calculation apparatus, reliability calculation method and program | |
| CN110012037B (zh) | 基于不确定性感知攻击图的网络攻击预测模型构建方法 | |
| US20220279008A1 (en) | Network monitoring device, network monitoring method, and storage medium having recorded thereon network monitoring program | |
| US11582255B2 (en) | Dysfunctional device detection tool | |
| US7924829B2 (en) | Technique for enabling network statistics on software partitions | |
| Naik et al. | D-FRI-Honeypot: A secure sting operation for hacking the hackers using dynamic fuzzy rule interpolation | |
| CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
| CN114244632B (zh) | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 | |
| Glass et al. | Automatically identifying the sources of large Internet events | |
| US20230008765A1 (en) | Estimation apparatus, estimation method and program | |
| CN107251519B (zh) | 用于检测通信网络上的假信息的攻击的系统、方法和介质 | |
| CN111767571A (zh) | 一种医疗数据泄露的检测方法 | |
| CN115242704B (zh) | 网络拓扑数据更新方法、装置和电子设备 | |
| JP2005128609A (ja) | サーバ計算機、計算機および通信ログの処理方法 | |
| CN114338593B (zh) | 利用地址解析协议进行网络扫描的行为检测方法及装置 | |
| CN115412357B (zh) | 异常设备检测方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |