CN114666169B - 一种扫描探测类型的识别方法、装置、设备及介质 - Google Patents
一种扫描探测类型的识别方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114666169B CN114666169B CN202210565948.6A CN202210565948A CN114666169B CN 114666169 B CN114666169 B CN 114666169B CN 202210565948 A CN202210565948 A CN 202210565948A CN 114666169 B CN114666169 B CN 114666169B
- Authority
- CN
- China
- Prior art keywords
- data packet
- bit information
- hash value
- flag bit
- target data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种扫描探测类型的识别方法、装置、设备及介质,涉及计算机技术领域,所述方法包括:对目标数据包进行解析,得到目标数据包的标志位信息以及目标数据包的TCP四元组信息;如果四元组信息对应的哈希值存在,则更新哈希值记录到的上下文中的标志位信息;如果目标数据包的标志位信息中存在目标标志位信息,则将目标数据包以及更新后的哈希值记录到的上下文中的标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,可见,本申请基于不同的扫描探测类型具备不同的标志位特征的特性,将目标数据包以及哈希值记录到的上下文中的标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,从而精准的确定出目标数据包对应的扫描探测类型。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种扫描探测类型的识别方法、装置、设备及介质。
背景技术
在网络环境中,通常存在着大量的扫描探测行为以及扫描探测数据包,攻击者在攻击初始阶段利用不同的工具,例如nmap(网络映射器)、python脚本等定向或非定向的对指定网络触发不同类型的扫描探测行为,以探测指定主机是否存在存活的端口或服务,进而根据端口或服务的特征去采取进一步的攻击行为。常见的扫描探测类型按大类可简单分为TCP(Transmission Control Protocol,传输控制协议)扫描、UDP(User Data Protocol,用户数据报协议)扫描、ICMP(Internet Control Message Protocol,控制报文协议)扫描等,其中TCP扫描中又包含半连接扫描、全连接扫描、FIN扫描、XMAS扫描、NULL扫描。每种扫描探测类型对应不同的数据包特征,其中,数据包特征具体包括标志位特征。
为此,如何基于扫描探测行为的数据包特征方便有效的识别不同类型的扫描探测行为是网络安全从业者面临的一个通用问题。
发明内容
有鉴于此,本发明的目的在于提供一种扫描探测类型的识别方法、装置、设备及介质,能够基于扫描探测行为的数据包特征方便有效的识别不同类型的扫描探测行为,其具体方案如下:
第一方面,本申请公开了一种扫描探测类型的识别方法,包括:
获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;
判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;
判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
可选的,所述如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息之前,还包括:
基于目标数据包的TCP四元组信息生成相应的哈希值,并基于所述哈希值记录上下文中的标志位信息。
可选的,所述基于所述哈希值记录上下文中的标志位信息,包括:
按照预设的缓存过期时间,基于所述哈希值记录上下文中的标志位信息。
可选的,所述判断所述四元组信息对应的哈希值是否存在之后,还包括:
如果所述四元组信息对应的哈希值不存在,则判定所述目标数据包所在的TCP为第一次出现的TCP;
基于所述四元组信息生成哈希值,并创建与所述哈希值对应的上下文,以便基于所述哈希值记录上下文中的标志位信息。
可选的,所述判断所述目标数据包的所述标志位信息中是否存在目标标志位信息之后,还包括:
如果所述标志位信息中不存在所述目标标志位信息,并且未识别出所述目标数据包对应的扫描探测类型,则再次更新所述哈希值记录到的上下文中的标志位信息。
可选的,所述将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配之前,还包括:
利用网络映射器对目标端口发起不同类型的扫描探测;
通过网络数据采集分析工具获取与每种类型的所述扫描探测对应的数据包;
基于所述数据包创建数据包特征库;其中,所述数据包特征库中包含所述每种类型的所述扫描探测对应的数据包特征,所述数据包特征中包括标志位特征。
可选的,所述将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,包括:
确定待匹配的扫描探测类型,并在所述数据包特征库中,基于所述待匹配的扫描探测类型确定所述待匹配的扫描探测类型的标志位特征。
第二方面,本申请公开了一种扫描探测类型的识别装置,包括:
数据包解析模块,用于获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;
标志位信息更新模块,用于判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;
匹配模块,用于判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的扫描探测类型的识别方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的扫描探测类型的识别方法。
可见,本申请提出一种扫描探测类型的识别方法,包括:获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。可见,本申请基于不同的扫描探测类型具备不同的标志位特征的特性,将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,从而精准的确定出所述目标数据包对应的扫描探测类型。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种扫描探测类型的识别方法流程图;
图2为本申请公开的一种具体的扫描探测类型的识别方法流程图;
图3为本申请公开的一种具体的扫描探测类型的识别方法流程图;
图4为本申请公开的一种TCP在上下文中记录标志位信息的结构示意图;
图5为本申请公开的一种扫描探测类型的识别装置结构示意图;
图6为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
每种扫描探测类型对应不同的数据包特征,其中,数据包特征具体包括标志位特征,如何基于扫描探测行为的数据包特征方便有效的识别不同类型的扫描探测行为是网络安全从业者面临的一个通用问题。
为此,本申请实施例提出一种扫描探测类型的识别方案,能够基于不同的扫描探测类型具备不同的标志位特征的特性,将目标数据包以及哈希值记录到的上下文中的标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,从而精准的确定出所述目标数据包对应的扫描探测类型。
本申请实施例公开了一种扫描探测类型的识别方法,参见图1所示,该方法包括:
步骤S11:获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息。
需要指出的是,TCP扫描探测过程中一般存在着连接的建立和断开的过程,这个过程中标志位信息会随着不同步骤进行变换。扫描探测的连接建立与断开过程之间的数据包的标志位信息与普通的TCP连接建立和断开过程中的标志位信息存在差异,普通的TCP连接建立和断开过程中存在“三次握手”和“四次挥手”。具体的,在三次握手过程中,标志位信息分别为C:SYN=1;S:SYN=1,ACK=1;C:ACK=1,在四次挥手过程中,标志位信息分别为S:FIN=1,ACK=1;C:ACK=1;C:FIN=1,ACK=1;S:ACK=1。其中“C”代表客户端,“S”代表服务端,SYN表示同步标志,ACK表示应答标志,FIN表示连接断开。常见的不同扫描探测类型的标志位信息如下所示,ACK扫描中C:ACK=1,S:RST=1;FIN扫描中C:FIN=1,C:RST=1;XMAS扫描中C:FIN=1,PUSH=1,URG=1,C:RST=1,PUSH=1,URG=1,其中PUSH表示当前数据包存在应用层数据,RST表示复位,URG表示紧急标志位。
本实施例中,基于libpcap或winpcap等开源组件监听指定网卡,以得到目标数据包。所述libpcap是Unix/Linux平台下的网络数据包捕获函数库,它是一个独立于系统的用户层包捕获的API(Application Program Interface,应用程序编程)接口,为底层网络监测提供了一个可移植的框架。所述winpcap是windows平台下一个免费,公共的网络访问系统,用于windows系统下的直接的网络编程。
本实施例中,对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息。需要指出的是,所述标志位信息(TCP Flags)是网络流量TCP协议层的标志字段,除了上述提到的标志位信息,本实施中的标志位信息还包括但不限于:RESERVED:保留位。所述四元组信息包括源IP、源端口、目标IP、目标端口,每个TCP对应一个唯一的四元组。
步骤S12:判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息。
本实施例中,如果所述四元组信息对应的哈希值不存在,则判定所述目标数据包所在的TCP为第一次出现的TCP,则基于所述四元组信息生成哈希值,并创建与所述哈希值对应的上下文,以便基于所述哈希值记录上下文中的标志位信息。如果所述四元组信息对应的哈希值存在,则判定所述目标数据包所在的所述目标TCP为已出现过的TCP,则更新所述哈希值记录到的上下文中的标志位信息。
步骤S13:判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
本实施例中,所述目标标志位信息包括但不限于RST、FIN等特征。在一种具体的实施方式中,如果所述标志位信息均缺失,也即,所述标志位信息中不存在任何所述目标标志位信息,则判定所述目标数据包对应的扫描探测类型为NULL扫描类型。
需要指出的是,在将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配之前,还包括:利用网络映射器对目标端口发起不同类型的扫描探测,并通过网络数据采集分析工具(tcpdump)获取与每种类型的所述扫描探测对应的数据包,然后基于所述数据包创建数据包特征库;其中,所述数据包特征库中包含所述每种类型的所述扫描探测对应的数据包特征,所述数据包特征中包括标志位特征。如此一来,如果所述标志位信息中存在所述目标标志位信息,则确定待匹配的扫描探测类型,并在所述数据包特征库中,基于所述待匹配的扫描探测类型确定所述待匹配的扫描探测类型的标志位特征。
此外,如果所述标志位信息中不存在所述目标标志位信息,并且未识别出所述目标数据包对应的扫描探测类型,则再次更新所述哈希值记录到的上下文中的标志位信息。
可以理解的是,由于不同的扫描探测类型具备不同的标志位特征,因此本实施例通过将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
可见,本申请提出一种扫描探测类型的识别方法,包括:获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。可见,本申请基于不同的扫描探测类型具备不同的标志位特征的特性,将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,从而精准的确定出所述目标数据包对应的扫描探测类型。
本申请实施例公开了一种具体的扫描探测类型的识别方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。参见图2所示,具体包括:
步骤S21:获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息。
步骤S22:基于目标数据包的TCP四元组信息生成相应的哈希值,并基于所述哈希值记录上下文中的标志位信息。
需要指出的是,本实施例首先基于目标数据包的TCP四元组信息生成相应的哈希值,然后基于所述哈希值记录上下文中的标志位信息。具体的,可以根据待匹配的扫描探测类型,对不同组数的标志位信息进行记录,例如,对于一种扫描探测类型来说,需要记录两组标志位信息,所述两组标志位信息具体指:对于所述目标数据包所在的TCP来说,所述TCP连接的上一个数据包的标志位信息以及所述TCP连接的上上个数据包的标志位信息。如此一来,本申请具有优秀的扩展性,当出现一类新的扫描探测类型时,只需要增减上下文中的标志位信息的组数,即可对相应类型进行识别。
具体的,本实施例按照预设的缓存过期时间,基于所述哈希值记录上下文中的标志位信息,如此一来,防止无用的信息一直占用内存。
步骤S23:判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息。
步骤S24:判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
其中,关于步骤S21、步骤S23、步骤S24更加具体的工作过程参见前述公开的实施例所示,在此不做具体赘述。
可见,本申请基于不同的扫描探测类型具备不同的标志位特征的特性,将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,从而精准的确定出所述目标数据包对应的扫描探测类型。此外,本申请具有优秀的扩展性,当出现一类新的扫描探测类型时,只需要增减上下文中的标志位信息的组数,即可对相应类型进行识别。
参见图3所示,基于所述扫描探测类型的识别方法,本申请主要的实现方案如下:
1、基于libpcap或winpcap等开源组件监听指定网卡,捕获目标数据包。
2、对目标数据包进行拆解,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息,所述TCP四元组信息包括从网络层获取的源IP和目标IP,从传输层获取的源端口和目标端口。
3、基于源IP和源端口、目标IP和目标端口计算哈希值,并基于所述哈希值记录上下文中的标志位信息。
4、在记录标志位信息时,若哈希值不存在,则创建上下文,若哈希值存在,则仅更新除四元组外的标志位信息;其中,单个TCP在上下文中记录标志位信息的结构样例如图4所示,第一级记录的是所述TCP连接的上一个数据包的标志位信息,第二级记录的是上上个数据包的标志位信息,可以根据待匹配的探测方式类型,累加记录第三级、第四级等多级信息。
5、判断标志位信息中是否存在RST、FIN等目标标志位信息,如果存在,则将目标数据包以及更新后的哈希值记录到的上下文中的标志位信息与待匹配的扫描探测类型的标志位特征进行匹配;如果不存在,则再次更新所述哈希值记录到的上下文中的标志位信息。
相应的,本申请实施例还公开了一种扫描探测类型的识别装置,参见图5所示,该装置包括:
数据包解析模块11,用于获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;
标志位信息更新模块12,用于判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;
匹配模块13,用于判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
其中,关于上述各个模块更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本申请提出一种扫描探测类型的识别方法,获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。可见,本申请基于不同的扫描探测类型具备不同的标志位特征的特性,将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,从而精准的确定出所述目标数据包对应的扫描探测类型。
进一步的,本申请实施例还提供了一种电子设备。图6是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图6为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、显示屏23、输入输出接口24、通信接口25、电源26、和通信总线27。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的扫描探测类型的识别方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源26用于为电子设备20上的各硬件设备提供工作电压;通信接口25能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口24,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括计算机程序221,存储方式可以是短暂存储或者永久存储。其中,计算机程序221除了包括能够用于完成前述任一实施例公开的由电子设备20执行的扫描探测类型的识别方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的扫描探测类型的识别方法。
关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种扫描探测类型的识别方法、装置、设备、存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种扫描探测类型的识别方法,其特征在于,包括:
获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;其中,所述四元组信息包括源IP、源端口、目标IP、目标端口,每个TCP对应一个四元组;
判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;其中,所述上下文用于记录所述TCP已连接的数据包的标志位信息;所述哈希值用于记录与其对应的所述上下文;
判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
2.根据权利要求1所述的扫描探测类型的识别方法,其特征在于,所述如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息之前,还包括:
基于目标数据包的TCP四元组信息生成相应的哈希值,并基于所述哈希值记录上下文中的标志位信息。
3.根据权利要求2所述的扫描探测类型的识别方法,其特征在于,所述基于所述哈希值记录上下文中的标志位信息,包括:
按照预设的缓存过期时间,基于所述哈希值记录上下文中的标志位信息。
4.根据权利要求2所述的扫描探测类型的识别方法,其特征在于,所述判断所述四元组信息对应的哈希值是否存在之后,还包括:
如果所述四元组信息对应的哈希值不存在,则判定所述目标数据包所在的TCP为第一次出现的TCP;
基于所述四元组信息生成哈希值,并创建与所述哈希值对应的上下文,以便基于所述哈希值记录上下文中的标志位信息。
5.根据权利要求1所述的扫描探测类型的识别方法,其特征在于,所述判断所述目标数据包的所述标志位信息中是否存在目标标志位信息之后,还包括:
如果所述标志位信息中不存在所述目标标志位信息,并且未识别出所述目标数据包对应的扫描探测类型,则再次更新所述哈希值记录到的上下文中的标志位信息。
6.根据权利要求1至5任一项所述的扫描探测类型的识别方法,其特征在于,所述将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配之前,还包括:
利用网络映射器对目标端口发起不同类型的扫描探测;
通过网络数据采集分析工具获取与每种类型的所述扫描探测对应的数据包;
基于所述数据包创建数据包特征库;其中,所述数据包特征库中包含所述每种类型的所述扫描探测对应的数据包特征,所述数据包特征中包括标志位特征。
7.根据权利要求6所述的扫描探测类型的识别方法,其特征在于,所述将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,包括:
确定待匹配的扫描探测类型,并在所述数据包特征库中,基于所述待匹配的扫描探测类型确定所述待匹配的扫描探测类型的标志位特征。
8.一种扫描探测类型的识别装置,其特征在于,包括:
数据包解析模块,用于获取网卡上的目标数据包,并对所述目标数据包进行解析,得到所述目标数据包的标志位信息以及所述目标数据包的TCP四元组信息;其中,所述四元组信息包括源IP、源端口、目标IP、目标端口,每个TCP对应一个四元组;
标志位信息更新模块,用于判断所述四元组信息对应的哈希值是否存在,如果所述四元组信息对应的哈希值存在,则更新所述哈希值记录到的上下文中的标志位信息;其中,所述上下文用于记录所述TCP已连接的数据包的标志位信息;所述哈希值用于记录与其对应的所述上下文;
匹配模块,用于判断所述目标数据包的所述标志位信息中是否存在目标标志位信息,如果所述标志位信息中存在所述目标标志位信息,则将所述目标数据包的所述标志位信息以及更新后的所述哈希值记录到的所述上下文中的所述标志位信息与待匹配的扫描探测类型的标志位特征进行匹配,以便确定所述目标数据包对应的扫描探测类型是否为所述待匹配的扫描探测类型。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的扫描探测类型的识别方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的扫描探测类型的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210565948.6A CN114666169B (zh) | 2022-05-24 | 2022-05-24 | 一种扫描探测类型的识别方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210565948.6A CN114666169B (zh) | 2022-05-24 | 2022-05-24 | 一种扫描探测类型的识别方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114666169A CN114666169A (zh) | 2022-06-24 |
| CN114666169B true CN114666169B (zh) | 2022-08-12 |
Family
ID=82037238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210565948.6A Active CN114666169B (zh) | 2022-05-24 | 2022-05-24 | 一种扫描探测类型的识别方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666169B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021169308A1 (zh) * | 2020-02-28 | 2021-09-02 | 华为技术有限公司 | 一种数据流类型识别模型更新方法及相关设备 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150242429A1 (en) * | 2014-02-25 | 2015-08-27 | Alcatel Lucent | Data matching based on hash table representations of hash tables |
| CN104468273A (zh) * | 2014-12-12 | 2015-03-25 | 北京百度网讯科技有限公司 | 识别流量数据的应用类型的方法及系统 |
| CN104954200A (zh) * | 2015-06-17 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种网络数据包的多类型规则高速匹配方法及装置 |
| CN105656730A (zh) * | 2016-04-12 | 2016-06-08 | 北京北信源软件股份有限公司 | 一种基于tcp数据包的网络应用快速发现方法和系统 |
| CN106453376B (zh) * | 2016-10-27 | 2019-06-14 | 成都知道创宇信息技术有限公司 | 一种基于tcp包特征的无状态扫描过滤方法 |
| CN106411943A (zh) * | 2016-11-25 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于概率延迟的sdn网络主动防御系统及其方法 |
| JP7104779B2 (ja) * | 2017-09-15 | 2022-07-21 | 達闥科技(北京)有限公司 | 対象認識方法、装置及びインテリジェント端末 |
| CN110858823B (zh) * | 2018-08-24 | 2023-03-07 | 中兴通讯股份有限公司 | 一种数据包的分类方法、装置及计算机可读存储介质 |
| CN111385260B (zh) * | 2018-12-28 | 2022-01-25 | 广州市百果园信息技术有限公司 | 一种端口探测方法、系统、服务器和存储介质 |
| CN110166480B (zh) * | 2019-05-31 | 2021-05-14 | 新华三信息安全技术有限公司 | 一种数据包的分析方法及装置 |
| CN110808879B (zh) * | 2019-11-01 | 2021-11-02 | 杭州安恒信息技术股份有限公司 | 一种协议识别方法、装置、设备及可读存储介质 |
| CN111628941A (zh) * | 2020-05-27 | 2020-09-04 | 广东浪潮大数据研究有限公司 | 一种网络流量的分类处理方法、装置、设备及介质 |
| CN111756713B (zh) * | 2020-06-15 | 2022-12-27 | Oppo广东移动通信有限公司 | 网络攻击识别方法、装置、计算机设备及介质 |
| CN112751862A (zh) * | 2020-12-30 | 2021-05-04 | 杭州迪普科技股份有限公司 | 一种端口扫描攻击检测方法、装置及电子设备 |
-
2022
- 2022-05-24 CN CN202210565948.6A patent/CN114666169B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021169308A1 (zh) * | 2020-02-28 | 2021-09-02 | 华为技术有限公司 | 一种数据流类型识别模型更新方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114666169A (zh) | 2022-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10230752B2 (en) | Systems and methods for attack simulation on a production network | |
| CN110808879B (zh) | 一种协议识别方法、装置、设备及可读存储介质 | |
| Gorbunov et al. | Autofuzz: Automated network protocol fuzzing framework | |
| US8555393B2 (en) | Automated testing for security vulnerabilities of devices | |
| CN112398782A (zh) | 网络资产的识别方法、装置、介质及设备 | |
| US20100235917A1 (en) | System and method for detecting server vulnerability | |
| KR101893253B1 (ko) | 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법 | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| CN111783096A (zh) | 检测安全漏洞的方法和装置 | |
| CN113315767A (zh) | 一种电力物联网设备安全检测系统及方法 | |
| US10320881B2 (en) | Operating system fingerprint detection | |
| CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| RU2769075C1 (ru) | Система и способ активного обнаружения вредоносных сетевых ресурсов | |
| WO2024113953A1 (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| CN114666169B (zh) | 一种扫描探测类型的识别方法、装置、设备及介质 | |
| CN112436969A (zh) | 一种物联网设备管理方法、系统、设备及介质 | |
| CN117640494A (zh) | 一种互联网资产拓扑关系识别方法、装置、设备及介质 | |
| US20230008765A1 (en) | Estimation apparatus, estimation method and program | |
| CN116915476A (zh) | 一种主机操作系统的指纹识别方法、系统、设备及介质 | |
| WO2022222270A1 (zh) | 一种恶意挖矿行为识别方法、装置、设备及存储介质 | |
| CN113965392B (zh) | 恶意服务器检测方法、系统、可读介质及电子设备 | |
| CN113852625B (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| CN113839948B (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
| CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
| CN113168460A (zh) | 用于数据分析的方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |