CN114285654A - 一种检测攻击的方法和装置 - Google Patents
一种检测攻击的方法和装置 Download PDFInfo
- Publication number
- CN114285654A CN114285654A CN202111619231.7A CN202111619231A CN114285654A CN 114285654 A CN114285654 A CN 114285654A CN 202111619231 A CN202111619231 A CN 202111619231A CN 114285654 A CN114285654 A CN 114285654A
- Authority
- CN
- China
- Prior art keywords
- target
- port
- port number
- array
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种检测攻击的方法和装置,该方法包括:获取目标客户端和服务器之间在预设时间段内通信的报文的镜像报文;确定镜像报文中指定端口的目标端口号;利用预先构建的目标数组,记录目标端口号;在确定目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。借助于上述方案,本申请实施例能够提高检测效率。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种检测攻击的方法和装置。
背景技术
随着计算机网络技术的迅速发展,网络技术在各个领域都得到了广泛的应用。计算机网络在给人们提供便利、带来效益的同时,网络攻击也对信息安全提出了很大的挑战。
目前,现有的检测攻击的方法是通过接收待检测的同步序列编号(SynchronizeSequence Numbers,SYN)报文和与SYN报文对应的确认报文(或者说,SYN_ACK报文),并统计接收到的SYN报文的第一数量,以及统计接收到的与SYN报文对应的确认报文的第二数量,最后判断第一数量与第二数量的差值是否到达预设阈值,如果是,则确定存在端口扫描攻击行为。
在实现本发明的过程中,发明人发现现有技术中存在如下问题:现有的检测攻击的方法存在着检测效率比较低的问题。例如,对于现有的检测攻击的方法来说,其在统计SYN报文和与SYN报文对应的确认报文时,每次都需要存储相同源IP地址和目的IP地址的报文的目的端口,故其占用内存的空间是比较大的,并且由于存储的报文的数量也是比较大的,故其统计所用的时间也是比较长的,从而导致了检测效率比较低的问题。
发明内容
本申请实施例的目的在于提供一种检测攻击的方法和装置,以提高检测效率。
第一方面,本申请实施例提供了一种检测攻击的方法,该方法应用于攻击检测系统中的网络安全装置,攻击检测系统包括目标客户端、目标服务器和网络安全装置,方法包括:获取目标客户端和服务器之间在预设时间段内通信的报文的镜像报文;确定镜像报文中指定端口的目标端口号;利用预先构建的目标数组,记录目标端口号;在确定目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。
借助于上述方案,本申请实施例利用预先构建的目标数组,记录目标端口号,最后在确定目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为,从而相比于现有的检测攻击的方法来说,其可提高检测效率。
在一个可能的实施例中,指定端口包括源端口和目的端口;其中,确定镜像报文中指定端口的目标端口号,包括:确定由目标客户端向目标服务器发送的报文的镜像报文的目的端口的目标端口号,或者确定由目标服务器向目标客户端发送的报文的镜像报文的源端口的目标端口号。
在一个可能的实施例中,目标数组包括m个数组元素,并且m个数组元素中每个数组元素均包括n个位,以及目标数组中包含的每个位均与一个端口号对应,以及m和n均为正整数;其中,利用预先构建的目标数组,记录目标端口号,包括:计算目标端口号和n的商值a和余值b;其中,a为大于等于0的整数,b为大于等于0的整数;从m个数组元素中查找第a+1个数组元素,并从第a+1个数组元素中确定第b+1个位;利用第b+1个位,记录目标端口号。
在一个可能的实施例中,利用第b+1个位,记录目标端口号,包括:判断第b+1个位是否被标记;若确定第b+1个位未被标记,则对第b+1个位进行标记,以实现对目标端口号的记录。
在一个可能的实施例中,方法还包括:若确定第b+1个位被标记,则不进行记录。
第二方面,本申请实施例提供了一种检测攻击的装置,该装置应用于攻击检测系统中的网络安全装置,攻击检测系统包括目标客户端、目标服务器和网络安全装置,装置包括:获取模块,用于获取目标客户端和服务器之间在预设时间段内通信的报文的镜像报文;第一确定模块,用于确定镜像报文中指定端口的目标端口号;记录模块,用于利用预先构建的目标数组,记录目标端口号;第二确定模块,用于在确定目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。
在一个可能的实施例中,指定端口包括源端口和目的端口;其中,第一确定模块,具体用于:确定由目标客户端向目标服务器发送的报文的镜像报文的目的端口的目标端口号,或者确定由目标服务器向目标客户端发送的报文的镜像报文的源端口的目标端口号。
在一个可能的实施例中,目标数组包括m个数组元素,并且m个数组元素中每个数组元素均包括n个位,以及目标数组中包含的每个位均与一个端口号对应,以及m和n均为正整数;其中,记录模块,具体用于:计算目标端口号和n的商值a和余值b;其中,a为大于等于0的整数,b为大于等于0的整数;从m个数组元素中查找第a+1个数组元素,并从第a+1个数组元素中确定第b+1个位;利用第b+1个位,记录目标端口号。
在一个可能的实施例中,记录模块,具体用于:判断第b+1个位是否被标记;若确定第b+1个位未被标记,则对第b+1个位进行标记,以实现对目标端口号的记录。
在一个可能的实施例中,记录模块,具体用于:若确定第b+1个位被标记,则不进行记录。
第三方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第四方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第五方面,本申请提供一种计算机程序产品,所述计算机程序产品包括存储计算机程序的计算机可读存储介质,所述计算机程序在由至少一个处理器执行时,使所述至少一个处理器执行第一方面或第一方面的任一可选的实现方式所述的方法。
为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种应用场景的示意图;
图2示出了本申请实施例示出的一种检测攻击的方法的流程图;
图3示出了本申请实施例提供的一种检测攻击的装置的结构框图;
图4示出了本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
目前,现有的检测攻击的方法除了存在着检测效率比较低的问题之外,还存在着使用范围比较局限和不便于维护统计表项的问题。例如,由于现有的检测攻击的方法仅适用传输控制协议(Transmission Control Protocol,TCP)端口扫描的攻击检测,故其存在着使用范围比较局限的问题。再例如,由于现有的检测攻击的方法需要使用的统计表项比较多,故其存在着不便于维护统治表项的问题。
基于此,本申请实施例提供了一种检测攻击的方案,通过获取目标客户端和服务器之间在预设时间段内通信的报文的镜像报文,随后确定镜像报文中指定端口的目标端口号,随后利用预先构建的目标数组,记录目标端口号,最后在确定目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。
因此,本申请实施例利用预先构建的目标数组,记录目标端口号,最后在确定目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为,从而相比于现有的检测攻击的方法来说,其可提高检测效率。
为了便于理解本申请实施例,下面对本申请实施例涉及的一些术语进行解释如下:
“端口扫描”:它可以通过向一个特定主机地址的不同端口(包括TCP端口和用户数据包协议(User Datagram Protocol,UDP)端口)发送IP数据包,以确定该主机开启的服务。并且,当一个源IP地址在规定的时间间隔内将数据报文发送给位于相同目的IP地址的不同端口数大于预设的不同端口阈值时,判定发生端口扫描攻击。
“数组”:它可以是用于存储一个固定大小的相同类型的数组元素的顺序集合,并且在该结构中,可以把数组的每一个位表示为一个数值,一个整数在内存中用一位(或者说1比特)表示,即整数存在。
请参见图1,图1示出了本申请实施例提供的一种应用场景的示意图。如图1所示的应用场景包括目标客户端、目标服务器和网络安全装置。其中,网络安全装置分别与目标客户端和目标服务器连接。
应理解,目标客户端的具体设备、目标服务器的具体设备和网络安全装置的具体装置等均可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,目标客户端可以为手机,也可以为电脑等。
再例如,目标服务器可以是单个服务器,也可以是服务器集群等。
为了便于理解本申请实施例,下面通过具体地实施例来进行描述。
具体地,网络安全装置获取目标客户端和服务器之间在预设时间段内通信的报文的镜像报文,随后网络安全装置可确定镜像报文中指定端口的目标端口号,并利用预先构建的目标数组,记录目标端口号,最后,网络安全装置若确定目标数组中被记录的目标端口号的总个数大于等于预设个数,则确定存在端口扫描攻击行为。
应理解,虽然图1示出了具体地应用场景,但本领域的技术人员应当理解,本领域的技术人员可根据实际需求对应用场景进行适应性地调整,本申请实施例并不局限于此。
例如,虽然图1示出了一个客户端和一个服务器,但本领域的技术人员应当理解,该应用场景可包括更多地客户端和服务器。
请参见图2,图2示出了本申请实施例示出的一种检测攻击的方法的流程图。具体地,如图2所示的方法应用于攻击检测系统中的网络安全装置,攻击检测系统包括目标客户端、目标服务器和网络安全装置,该方法包括:
步骤S210,网络安全装置获取目标客户端和服务器之间在预设时间段内通信的报文的镜像报文。
应理解,预设时间段的具体时间可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,预设时间可以为1分钟,也可以为12分钟等。
还应理解,目标客户端和服务器之间通信的报文的具体报文可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,该报文可以是由目标客户端向目标服务器发送的上行报文,也可以是由目标服务器向目标客户端发送的下行报文。
对应地,镜像报文可以是上行报文的镜像报文,也可以是下行报文的镜像报文。
这里需要说明的是,上述获取镜像报文的过程可以是分别获取的。
步骤S220,网络安全装置确定镜像报文中指定端口的目标端口号。
应理解,指定端口的具体端口可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,在镜像报文为上行报文的镜像报文的情况下,该指定端口可以为目的端口;在镜像报文为下行报文的镜像报文的情况下,该指定端口可以为源端口。
对应地,目标端口号可以是目的端口的端口号,也可以是源端口的端口号。
为了便于理解本申请实施例,下面通过具体地实施例来进行描述。
具体地,网络安全装置可以对镜像报文进行解析,获得五元组信息。其中,五元组信息包括源IP地址、源端口、目的IP地址、目的端口和传输层协议(其可以为TCP协议,也可以为UDP协议等,即本申请的方法可支持多种协议)。随后,在镜像报文为上行报文的镜像报文的情况下,该网络安全装置可根据五元组信息中的目的端口,确定目的端口的目标端口号;在镜像报文为下行报文的镜像报文的情况下,该网络安全装置可根据五元组信息中的源端口,确定源端口的目标端口号。
这里需要说明的是,本申请实施例主要针对的是客户端对服务器侧的攻击,故可通过检测上行报文的目的端口的目标端口号或下行报文的源端口的目标端口号来确定服务器侧的端口的占用情况,进而后续可根据服务器侧的端口的占用情况,确定是否存在网络攻击。
步骤S230,网络安全装置利用预先构建的目标数组,记录目标端口号。其中,目标数组可用于存储镜像报文的端口号。
应理解,网络安全装置利用预先构建的目标数组,记录目标端口号的具体过程可根据实际需求来进行设置,本申请实施例并不局限于此。
可选地,目标数组包括m个数组元素(或者称为元素),并且m个数组元素中每个数组元素均包括n个位(或者说,一个数组元素占用n个位),以及目标数组中包含的每个位均与一个端口号对应,以及m和n均为正整数。其中,位也可称为比特。
例如,在因特网上,各个设备之间可通过TCP协议或者IP协议发送和接收报文,并且各个报文可根据其报文中的目的IP地址来进行互联网络中的路由选择。并且,由于TCP协议或者IP协议的端口号范围是从0到65535,故可用一个包含8192个位的数组存储端口号。也就是说,考虑到TCP协议或者IP协议的端口号范围是从0到65535,故数组可包含8192个数组元素(即m等于8192),并且8192个数组元素中每个数组元素均可包含8个位(即n等于8)。并且,8192个数组元素中的第一个数组元素中可记录端口号0到端口号7,8192个数组元素中的第二个数组元素可记录端口号8到端口号15,以此类推,目标数组中包含的每个位均与一个端口号对应,故数组中的65535个位中每个位可与一个端口号对应。
以及,该网络安全装置可计算目标端口号和n的商值a和余值b,随后从m个数组元素中查找第a+1个数组元素,并从第a+1个数组元素中确定第b+1个位,最后利用第b+1个位,记录目标端口号。其中,a为大于0的正整数,b为大于等于0的整数(即余数可以是0,也可以是其他正整数)。
也就是说,当需要利用目标数组记录一个目标端口号时,可先确定该目标端口号位于目标数组的哪个数组元素中,即可用该目标端口号除以n得到的商值a和余值b,随后将商值加1可确定目标端口号位于目标数组的哪个数组元素中(即目标端口号位于第a+1个数组元素中),随后可将余值b加1可确定其位于第a+1个数组元素的哪个位中(即目标端口号位于第a+1个数组元素中的第b+1个位),随后可利用第b+1个位,记录目标端口号。
例如,在数组包括8192个数组元素并且8192个数组元素中每个数组元素均包括8个位以及目标端口号为100的情况下,可利用目标端口号100除以8,可获得商值12和余值4,从而可确定目标端口号处于第13个数组元素中的第5个位。
还应理解,网络安全装置利用第b+1个位,记录目标端口号的具体过程可根据实际需求来进行设置。
例如,该网络安全装置在确定目标端口号位于第a+1个数组元素中的第b+1个位的情况下,该网络安全装置可判断第a+1个数组元素中的第b+1个位是否被标记,若被标记,则确定该目标端口号之前已经被记录,并且本申请实施例中的目标端口号只需要记录一次即可,故在确定其已经被记录的情况的下,本次可忽略该记录,无需做记录处理;若未被标记,则确定该目标端口号之前未被记录,则可对第b+1个位进行标记,以实现对目标端口号的记录。
应理解,对端口号的标记方式的具体标记方式也可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,在某个位未被标记的情况下,其数值可以是0;在对该位标记后,该位的数值可以变成1。
这里还需要说明的是,本申请实施例还可包含一个记录表,并且该记录表可包含多个记录表项,并且每个记录表项可记录一组设备的相关端口记录信息。其中,一组设备可包含一个客户端和一个服务器。以及,考虑到一组设备的客户端和服务器之间可以有多个会话,并且多个会话中的每个会话可传输上行报文或者下行报文,故可通过如下方式从记录表项中查找一组设备对应的目标记录表项:
对于多个会话中每个会话来说,可利用每个会话的首个报文的镜像报文的源IP地址和目的IP地址计算目标哈希值,并且由于记录表中每个记录表项均可以与一个哈希值对应,故可通过目标哈希值查找对应的目标记录表项。其中,该目标记录表项可用于记录目标客户端和目标服务器之间的端口信息。
还应理解,利用每个会话的首个报文的镜像报文的源IP地址和目的IP地址计算目标哈希值的具体方法可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,对于首个报文为上行报文的情况来说,其可将首个报文的镜像报文的源IP地址作为预设哈希算法的第一参数,并可将首个上行报文的镜像报文的目的IP地址作为预设哈希算的第二参数;对于首个报文为下行报文的情况来说,可将首个报文的镜像报文的源IP地址作为预设哈希算法的第二参数,并可将首个报文的镜像报文的目的IP地址作为预设哈希算的第一参数,从而可通过上述方式保证最终确定的哈希值是相同的,随后查找到的目标记录表项也是相同的。其中,预设哈希算法的具体算法可根据实际需求来进行设置,本申请实施例并不局限于此。
步骤S240,网络安全装置判断目标数组中被记录的目标端口号的总个数是否超过预设个数。其中,预设个数的具体个数可根据实际需求来进行设置,本申请实施例并不局限于此。
若确定目标数组中被记录的目标端口号的总个数小于预设个数,则执行步骤S250;若确定目标数组中被记录的目标端口号的总个数大于等于预设个数,则执行步骤S260。
步骤S250,网络安全装置确定在预设时间段内不存在端口扫描攻击行为。
步骤S260,网络安全装置确定在预设时间段内存在端口扫描攻击行为。
具体地,在该网络安全装置确定在预设时间段内存在端口扫描攻击行为的情况下,该网络安全装置可生成告警日志,并在相关设备的网页中展示出告警信息。
因此,本申请实施例可采用数组来记录端口号,从而可大大节省内存空间,并且可通过数组中的对应的位是否被标记,就可确定目标端口号是否在数据中被记录过,以及该过程只需要查询一次即可,从而能够极大地提高端口的查询效率,进而能够加快检测效率。
以及,本申请实施例可支持TCP端口扫描和UDP端口扫描的攻击检测,相比于现有的检测攻击的方法,其能够更全面的检测网络中的端口扫描攻击行为。
以及,本申请实施例可对全量报文进行端口扫描攻击检测,解决了网络流量的采样数据统计进行检测导致结果精确度不够的问题。
应理解,上述检测攻击的方法仅是示例性的,本领域技术人员根据上述的方法可以进行各种变形,修改或变形之后的内容也在本申请保护范围内。
请参见图3,图3示出了本申请实施例提供的一种检测攻击的装置300的结构框图,应理解,该装置300与上述方法实施例对应,能够执行上述方法实施例的各个步骤,该装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置300包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置300的操作系统(operating system,OS)中的软件功能模块。具体地,该装置300应用于攻击检测系统中的网络安全装置,所述攻击检测系统包括目标客户端、目标服务器和所述网络安全装置,该装置300包括:
获取模块310,用于获取目标客户端和服务器之间在预设时间段内通信的报文的镜像报文;
第一确定模块320,用于确定镜像报文中指定端口的目标端口号;
记录模块330,用于利用预先构建的目标数组,记录目标端口号;
第二确定模块340,用于在确定目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。
在一个可能的实施例中,指定端口包括源端口和目的端口;
其中,第一确定模块320,具体用于:确定由目标客户端向目标服务器发送的报文的镜像报文的目的端口的目标端口号,或者确定由目标服务器向目标客户端发送的报文的镜像报文的源端口的目标端口号。
在一个可能的实施例中,目标数组包括m个数组元素,并且m个数组元素中每个数组元素均包括n个位,以及目标数组中包含的每个位均与一个端口号对应,以及m和n均为正整数;
其中,记录模块330,具体用于:计算目标端口号和n的商值a和余值b;其中,a为大于等于0的整数,b为大于等于0的整数;从m个数组元素中查找第a+1个数组元素,并从第a+1个数组元素中确定第b+1个位;利用第b+1个位,记录目标端口号。
在一个可能的实施例中,记录模块330,具体用于:判断第b+1个位是否被标记;若确定第b+1个位未被标记,则对第b+1个位进行标记,以实现对目标端口号的记录。
在一个可能的实施例中,记录模块330,具体用于:若确定第b+1个位被标记,则不进行记录。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
请参见图4,图4示出了本申请实施例提供的一种电子设备400的结构框图。电子设备400可以包括处理器410、通信接口420、存储器430和至少一个通信总线440。其中,通信总线440用于实现这些组件直接的连接通信。其中,本申请实施例中的通信接口420用于与其他设备进行信令或数据的通信。处理器410可以是一种集成电路芯片,具有信号的处理能力。上述的处理器410可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器410也可以是任何常规的处理器等。
存储器430可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器430中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器410执行时,电子设备400可以执行上述方法实施例中的各个步骤。
电子设备400还可以包括存储控制器、输入输出单元、音频单元、显示单元。
所述存储器430、存储控制器、处理器410、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线440实现电性连接。所述处理器410用于执行存储器430中存储的可执行模块。并且,电子设备400用于执行下述方法:获取所述目标客户端和所述服务器之间在预设时间段内通信的报文的镜像报文;确定所述镜像报文中指定端口的目标端口号;利用预先构建的目标数组,记录所述目标端口号;在确定所述目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。
输入输出单元用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
音频单元向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元在所述电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
可以理解,图4所示的结构仅为示意,所述电子设备400还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行方法实施例所述的方法。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种检测攻击的方法,其特征在于,所述方法应用于攻击检测系统中的网络安全装置,所述攻击检测系统包括目标客户端、目标服务器和所述网络安全装置,所述方法包括:
获取所述目标客户端和所述服务器之间在预设时间段内通信的报文的镜像报文;
确定所述镜像报文中指定端口的目标端口号;
利用预先构建的目标数组,记录所述目标端口号;
在确定所述目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述指定端口包括源端口和目的端口;
其中,所述确定所述镜像报文中指定端口的目标端口号,包括:
确定由所述目标客户端向所述目标服务器发送的报文的镜像报文的目的端口的目标端口号,或者确定由所述目标服务器向所述目标客户端发送的报文的镜像报文的源端口的目标端口号。
3.根据权利要求1所述的方法,其特征在于,所述目标数组包括m个数组元素,并且所述m个数组元素中每个数组元素均包括n个位,以及所述目标数组中包含的每个位均与一个端口号对应,以及所述m和所述n均为正整数;
其中,所述利用预先构建的目标数组,记录所述目标端口号,包括:
计算所述目标端口号和所述n的商值a和余值b;其中,所述a为大于等于0的整数,b为大于等于0的整数;
从所述m个数组元素中查找第a+1个数组元素,并从所述第a+1个数组元素中确定第b+1个位;
利用所述第b+1个位,记录所述目标端口号。
4.根据权利要求3所述的方法,其特征在于,所述利用所述第b+1个位,记录所述目标端口号,包括:
判断所述第b+1个位是否被标记;
若确定所述第b+1个位未被标记,则对所述第b+1个位进行标记,以实现对所述目标端口号的记录。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若确定所述第b+1个位被标记,则不进行记录。
6.一种检测攻击的装置,其特征在于,所述装置应用于攻击检测系统中的网络安全装置,所述攻击检测系统包括目标客户端、目标服务器和所述网络安全装置,所述装置包括:
获取模块,用于获取所述目标客户端和所述服务器之间在预设时间段内通信的报文的镜像报文;
第一确定模块,用于确定所述镜像报文中指定端口的目标端口号;
记录模块,用于利用预先构建的目标数组,记录所述目标端口号;
第二确定模块,用于在确定所述目标数组中被记录的目标端口号的总个数大于等于预设个数的情况下,确定存在端口扫描攻击行为。
7.根据权利要求6所述的装置,其特征在于,所述指定端口包括源端口和目的端口;
其中,所述第一确定模块,具体用于:确定由所述目标客户端向所述目标服务器发送的报文的镜像报文的目的端口的目标端口号,或者确定由所述目标服务器向所述目标客户端发送的报文的镜像报文的源端口的目标端口号。
8.根据权利要求6所述的装置,其特征在于,所述目标数组包括m个数组元素,并且所述m个数组元素中每个数组元素均包括n个位,以及所述目标数组中包含的每个位均与一个端口号对应,以及所述m和所述n均为正整数;
其中,所述记录模块,具体用于:计算所述目标端口号和所述n的商值a和余值b;其中,所述a为大于等于0的整数,b为大于等于0的整数;从所述m个数组元素中查找第a+1个数组元素,并从所述第a+1个数组元素中确定第b+1个位;利用所述第b+1个位,记录所述目标端口号。
9.根据权利要求8所述的装置,其特征在于,所述记录模块,具体用于:判断所述第b+1个位是否被标记;若确定所述第b+1个位未被标记,则对所述第b+1个位进行标记,以实现对所述目标端口号的记录。
10.根据权利要求9所述的装置,其特征在于,所述记录模块,具体用于:若确定所述第b+1个位被标记,则不进行记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111619231.7A CN114285654A (zh) | 2021-12-27 | 2021-12-27 | 一种检测攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111619231.7A CN114285654A (zh) | 2021-12-27 | 2021-12-27 | 一种检测攻击的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114285654A true CN114285654A (zh) | 2022-04-05 |
Family
ID=80876618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111619231.7A Pending CN114285654A (zh) | 2021-12-27 | 2021-12-27 | 一种检测攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285654A (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040215976A1 (en) * | 2003-04-22 | 2004-10-28 | Jain Hemant Kumar | Method and apparatus for rate based denial of service attack detection and prevention |
| US20060140127A1 (en) * | 2004-12-29 | 2006-06-29 | Hee-Jo Lee | Apparatus for displaying network status |
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
| CN110061998A (zh) * | 2019-04-25 | 2019-07-26 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
| CN110266668A (zh) * | 2019-06-06 | 2019-09-20 | 新华三信息安全技术有限公司 | 一种端口扫描行为的检测方法及装置 |
| CN110519302A (zh) * | 2019-09-29 | 2019-11-29 | 锐捷网络股份有限公司 | 一种防报文攻击的方法和装置 |
| CN111447300A (zh) * | 2020-03-26 | 2020-07-24 | 深信服科技股份有限公司 | 一种目标端口确定方法、装置、设备及可读存储介质 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN112751862A (zh) * | 2020-12-30 | 2021-05-04 | 杭州迪普科技股份有限公司 | 一种端口扫描攻击检测方法、装置及电子设备 |
| CN113761300A (zh) * | 2021-08-23 | 2021-12-07 | 杭州安恒信息技术股份有限公司 | 基于位图计算的报文采样方法、装置、设备和介质 |
-
2021
- 2021-12-27 CN CN202111619231.7A patent/CN114285654A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040215976A1 (en) * | 2003-04-22 | 2004-10-28 | Jain Hemant Kumar | Method and apparatus for rate based denial of service attack detection and prevention |
| US20060140127A1 (en) * | 2004-12-29 | 2006-06-29 | Hee-Jo Lee | Apparatus for displaying network status |
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
| CN110061998A (zh) * | 2019-04-25 | 2019-07-26 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
| CN110266668A (zh) * | 2019-06-06 | 2019-09-20 | 新华三信息安全技术有限公司 | 一种端口扫描行为的检测方法及装置 |
| CN110519302A (zh) * | 2019-09-29 | 2019-11-29 | 锐捷网络股份有限公司 | 一种防报文攻击的方法和装置 |
| CN111447300A (zh) * | 2020-03-26 | 2020-07-24 | 深信服科技股份有限公司 | 一种目标端口确定方法、装置、设备及可读存储介质 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| CN112751862A (zh) * | 2020-12-30 | 2021-05-04 | 杭州迪普科技股份有限公司 | 一种端口扫描攻击检测方法、装置及电子设备 |
| CN113761300A (zh) * | 2021-08-23 | 2021-12-07 | 杭州安恒信息技术股份有限公司 | 基于位图计算的报文采样方法、装置、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10305922B2 (en) | Detecting security threats in a local network | |
| KR102238612B1 (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| CN107040494B (zh) | 用户账号异常防范方法和系统 | |
| US20200244676A1 (en) | Detecting outlier pairs of scanned ports | |
| CN112738099B (zh) | 一种检测慢速攻击的方法、装置、存储介质和电子设备 | |
| WO2017000439A1 (zh) | 一种恶意行为的检测方法、系统、设备及计算机存储介质 | |
| CN112615784B (zh) | 一种转发报文的方法、装置、存储介质和电子设备 | |
| CN109257390B (zh) | Cc攻击的检测方法、装置及电子设备 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| CN112437062B (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
| CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 | |
| CN109120579B (zh) | 恶意域名的检测方法、装置及计算机可读存储介质 | |
| CN113678419B (zh) | 端口扫描检测 | |
| CN115296904B (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
| CN114285654A (zh) | 一种检测攻击的方法和装置 | |
| US10326819B2 (en) | Method and apparatus for detecting access path | |
| CN115776395A (zh) | 一种基于响应时间的http请求走私漏洞检测方法及系统 | |
| TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
| CN109194621B (zh) | 流量劫持的检测方法、装置及系统 | |
| CN113904843A (zh) | 一种终端异常dns行为的分析方法和装置 | |
| JP6228616B2 (ja) | 通信監視装置、及び通信監視方法 | |
| CN117201341A (zh) | 一种数据流状态确定方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |