CN114465764A

CN114465764A - 一种基于流量数据的端口扫描识别方法、系统及装置

Info

Publication number: CN114465764A
Application number: CN202111603496.8A
Authority: CN
Inventors: 刘洋洋; 路冰; 孟维英; 孙宁; 邹斯达
Original assignee: Zhongfu Information Co Ltd
Current assignee: Zhongfu Information Co Ltd
Priority date: 2021-12-24
Filing date: 2021-12-24
Publication date: 2022-05-10
Anticipated expiration: 2041-12-24
Also published as: CN114465764B

Abstract

本发明提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

Description

一种基于流量数据的端口扫描识别方法、系统及装置

技术领域

本发明涉及计算机技术领域，更具体的说是涉及一种基于流量数据的端口扫描识别方法、系统及装置。

背景技术

计算机的快速发展在带来便利的同时，也为企业的发展带来了很多不容忽视的安全问题。一方面，由于疏忽或者管理不当导致的数据泄露问题可能导致企业发展就此中断；另一方面，很多黑客对企业的内部数据虎视眈眈，意图通过不正当的手段获取企业的内部信息，这也会对企业的发展造成重创。管理不当或者个人疏忽可以通过制定严格的行为规章避免，然而黑客的攻击行为却防不胜防。为了防范黑客的攻击行为，入侵检测显得尤为重要，其中，端口扫描行为的有效检测在入侵检测中占有重要的地位。攻击者在入侵之前往往会使用一种或者多种端口扫描方法对目标主机系统进行探测，以发现目标系统的漏洞，并利用这些漏洞对目标主机进行攻击。因此，有效的端口扫描行为检测可以将部分入侵行为扼杀在萌芽之中，达到防患于未然的效果。

传统的端口扫描行为检测办法包括Snort检测方法、比值计算法和频率计算法。但是，Snort检测方法虽然简单易行，但是阈值的设定却会对方法的误报率和漏报率产生较大的影响，而大规模的扫描行为均会导致比值计算法与频率计算法均难以有效检测端口扫描行为。可见，现有的端口扫描行为检测办法仅对于快速扫描、单一的水平或垂直扫描有较好的检测效果。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种基于流量数据的端口扫描识别方法、系统及装置，能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。

本发明为实现上述目的，通过以下技术方案实现：

一种基于流量数据的端口扫描识别方法，包括：

获取服务器到客户端的数据包，并在其中筛选出具有扫描行为的流量数据；

将具有扫描行为的流量数据以每十分钟划分一个时间窗口；

在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；

根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值；若是，则认定此源ip地址不具有扫描行为，筛去相应的流量数据；否则统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；

分别通过Snort检测方法计算输入信息得出第一参考分数、通过比值计算法计算输入信息得出第二参考分数、通过频率计算法计算输入信息得出第三参考分数；将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数；

判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。

进一步，所述具有扫描行为的流量数据具体为：数据包的数量小于3个流量数据。

进一步，所述源ip地址的访问信息和相应的目的ip地址的访问信息，包括：源ip地址访问的数目TCO，访问的目的ip数CIP，访问的目的端口数CPT；每一个目的ip地址的被访问次数TIPi；每一个目的端口的被访问次数TPTi；其中，具体的数据关系如下：

进一步，所述通过Snort检测方法计算输入信息得出第一参考分数，具体包括：

将Snort检测方法的阈值设置为100；

通过Snort检测方法的计算公式得出第一参考分数X1；

其中，Snort检测方法的计算公式具体如下：

进一步，所述通过比值计算法计算输入信息得出第二参考分数，包括：

将比值计算法的阈值设为50；

通过比值计算法的计算公式得出第二参考分数X2；

比值计算法的计算公式具体如下：

其中，Fi＝max(CIP/CPT,CPT/CIP)。

进一步，所述通过频率计算法计算输入信息得出第三参考分数，包括：通过下式计算每一个目的ip地址的被访问频率FIPi：

其中，i＝1,2,3……TCO；

通过下式计算每一个目的端口被访问的频率FPTi：

其中，i＝1,2,3……TCO；

通过以下公式计算出第一参考量G1和第二参考量G2，以得出第三参考分数X3：

X3＝max(G1，G2)。

进一步，所述将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数，包括：

通过以下公式计算得出源ip地址的最终检测分数X：

X＝0.5×max(X1，X2，X3)+0.3×media(X1，X2，X3)+0.2×min(X1，X2，X3)

进一步，所述判定值为0.6。

相应的，本发明还公开了一种基于流量数据的端口扫描识别系统，包括：数据获取单元，用于获取服务器到客户端的数据包，并在其中筛选出具有扫描行为的流量数据；

划分单元，用于将具有扫描行为的流量数据以每十分钟划分一个时间窗口；数据聚合单元，用于在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；

第一判定单元，用于根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值；若是，则认定此源ip地址不具有扫描行为，筛去相应的流量数据；否则统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；

计算单元，用于分别通过Snort检测方法计算输入信息得出第一参考分数、通过比值计算法计算输入信息得出第二参考分数、通过频率计算法计算输入信息得出第三参考分数；

集成运算单元，用于将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数；

第二判定单元，用于判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。

相应的，本发明还公开了一种基于流量数据的端口扫描识别装置，包括：存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上文任一项所述基于流量数据的端口扫描识别方法步骤。

对比现有技术，本发明有益效果在于：

1、本发明将多种端口检测的方法集成，避免单一的端口检测算法覆盖不全面的问题。

2、本发明将三种检测方法在进行互补，避免在检测过程中某一方面不足导致的高误报、高漏报的问题。

3、本发明整体思路清晰易懂，对每种方法给出了较为通用和简单的计算方法，业务价值较高。

4、本发明相对于传统的检测方式，实现了检测低速扫描和混合扫描功能。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

附图1是本发明具体实施方式的方法流程图。

附图2是本发明具体实施方式的系统结构图。

图中，1为数据获取单元；2为数据获取单元；3为数据聚合单元；4为第一判定单元；5为计算单元；6为集成运算单元；7为第二判定单元。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，将本发明涉及的概念解释如下：

垂直端口扫描，简称垂直扫描，即对同一主机的不同端口进行扫描，在短时间的扫描过程中目的端口数与目的主机IP数的比值远大于1。(目的端口数/目的主机IP数)。

水平端口扫描，简称水平扫描，即对不同主机的同一端口(或相同的几个端口)进行扫描。所以在短时间内扫描过程中目的ip数与目的端口数的比值远大于1。(目的主机ip数/目的端口数)。

混合扫描，即水平扫描和垂直扫描的混合模式。对一批主机的多个端口进行扫描。

下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明公开了一种基于流量数据的端口扫描识别方法，包括如下步骤：

S1：获取服务器到客户端的数据包，并在其中筛选出具有扫描行为的流量数据。

具体来说，选取服务器到客户端的数据包小于3的流量数据。由于扫描行为往往只是发送一个连接请求试探端口的开放情况，所以扫描行为的流量数据中，数据包的数量往往不超过3。

S2：将具有扫描行为的流量数据以每十分钟划分一个时间窗口。

将流量数据按照十分钟划分时间窗口，其目的在于避免异常数据被大量正常数据稀释。

S3：在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据。

本步骤的目的在于避免心跳检测或者网络质量不佳情况下对数据的影响。

S4：根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值；若是，则认定此源ip地址不具有扫描行为，筛去相应的流量数据；否则统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息。

其中，源ip地址的访问信息和相应的目的ip地址的访问信息，具体包括：源ip地址访问的数目TCO，访问的目的ip数CIP，访问的目的端口数CPT；每一个目的ip地址的被访问次数TIPi；每一个目的端口的被访问次数TPTi；其中，具体的数据关系如下：

S5：分别通过Snort检测方法计算输入信息得出第一参考分数、通过比值计算法计算输入信息得出第二参考分数、通过频率计算法计算输入信息得出第三参考分数。

作为示例的，通过Snort检测方法计算输入信息得出第一参考分数，包括：

将Snort检测方法的阈值设置为100。

认为时间窗口内CIP和CPT均小于20的IP不存在扫描的行为，CIP或CPT大于100的IP一定产生扫描行为。Max(CIP，CPT)越接近100，扫描行为的可能越大，Max(CIP，CPT)越接近20，扫描行为的可能越小。

具体来说，通过Snort检测方法的计算公式得出第一参考分数X1。

其中，Snort检测方法的计算公式具体如下：

作为示例的，通过比值计算法计算输入信息得出第二参考分数，包括：

将比值计算法的阈值设为50。

认为一段时间比值小于3的IP不存在扫描的行为，比值大于50的IP一定产生扫描行为。比值越接近50，扫描行为的可能越大，比值越接近3，扫描行为的可能越小。

具体来说，通过比值计算法的计算公式得出第二参考分数X2。

其中，比值计算法的计算公式具体如下：

Fi＝max(CIP/CPT,CPT/CIP)。

作为示例的，通过频率计算法计算输入信息得出第三参考分数，包括：

通过下式计算每一个目的ip地址的被访问频率FIPi：

其中，i＝1,2,3……TCO；

通过下式计算每一个目的端口被访问的频率FPTi：

其中，i＝1,2,3……TCO。

由此可见，频率越集中，越不可能是端口扫描，频率越分散，越可能是端口扫描。此时，需要通过基尼系数计算频率的偏离程度。

具体来说，通过以下公式计算出第一参考量G1和第二参考量G2，以得出第三参考分数X3。

X3＝max(G1，G2)

S6：将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数。

至此，完成了第一参考分数、第二参考分数和第三参考分数的计算。此时，将上述三个算法的结果集成，得到某一源ip的分数。当某一个算法的结果得到的比值很大时，认为其具有较高的置信度，因此，放大三个算法中得分最高的算法的影响，得到源ip地址的最终检测分数。

具体的，通过以下公式计算得出源ip地址的最终检测分数×：

X＝0.5×max(X1，X2，X3)+0.3×media(X1，X2，X3)+0.2×min(X1，X2，X3)

S7：判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。

通过源ip地址的最终检测分数×能够衡量这个时间窗口内是否存在扫描行为。发明人根据的多次实验的结论得出了衡量最终检测分数X的判定值。执行时，判断X是否大于0.6；若是，则认定此源ip地址存在端口扫描行为。

相应的，如图2所示，本发明还公开了一种基于流量数据的端口扫描识别系统，包括：

数据获取单元1，用于获取服务器到客户端的数据包，并在其中筛选出具有扫描行为的流量数据。

划分单元2，用于将具有扫描行为的流量数据以每十分钟划分一个时间窗口。

数据聚合单元3，用于在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据。

第一判定单元4，用于根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值；若是，则认定此源ip地址不具有扫描行为，筛去相应的流量数据；否则统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息。

计算单元5，用于分别通过Snort检测方法计算输入信息得出第一参考分数、通过比值计算法计算输入信息得出第二参考分数、通过频率计算法计算输入信息得出第三参考分数。

集成运算单元6，用于将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数。

第二判定单元7，用于判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。

相应的，本发明还公开了一种基于流量数据的端口扫描识别装置，包括：

存储器，用于存储计算机程序；

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中如U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质，包括若干指令用以使得一台计算机终端(可以是个人计算机，服务器，或者第二终端、网络终端等)执行本发明各个实施例所述方法的全部或部分步骤。本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于终端实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统、系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。

同理，在本发明各个实施例中的各处理单元可以集成在一个功能模块中，也可以是各个处理单元物理存在，也可以两个或两个以上处理单元集成在一个功能模块中。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。