WO2015027523A1

WO2015027523A1 - 一种确定tcp端口扫描的方法及装置

Info

Publication number: WO2015027523A1
Application number: PCT/CN2013/082811
Authority: WO
Inventors: 丁杰; 马化一; 孔勇; 张俭锋; 薛百华
Original assignee: 北京东土科技股份有限公司
Priority date: 2013-09-02
Filing date: 2013-09-02
Publication date: 2015-03-05

Abstract

本发明公开了一种确定TCP端口扫描的方法及装置，解决现有进行端口扫描检测时，效率低、适用范围窄的问题。转发装置在过滤出的待确定的端口扫描报文中识别SYN报文，根据识别出的 SYN报文的源地址信息和目的地址信息，构造 SYN加 ACK报文，并向报文的源地址信息对应的设备发送，当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文时，当同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量大于设定的阈值N1时，确定该设备进行TCP端口扫描。由于本发明可以检测出半隐蔽方式的TCP端口扫描及低速TCP端口扫描，提高了该检测方法的适用范围，节省了系统资源，并提高了端口扫描的确定效率。

Description

一种确定 TCP端口扫描的方法及装置

技术领域本发明涉及工业以太网技术领域，尤其涉及一种确定 TCP端口扫描的方法及装置。背景技术端口扫描是指攻击者发送一组端口扫描 ·ί艮文，试图以此侵入设备，获取设备的各种有用信息的一种方法。通过检测技术检测扫描 ·ί艮文中特定的标志位，可以对已知特征的端口扫描行为进行迅速、精确的检测，但对于未知特征的扫描行为则不能检测出。

在进行端口扫描时，针对每个端口在固定时间长度 τ (窗口值）内，发送的报文数量是否超过设定的阈值 N, 当该端口发送的报文数量超过设定的阈值 N时，则确定该端口在进行端口扫描。但是该方法中时间长度 T为固定值，无法有效检测出发送周期比较长的端口扫描（低速端口扫描）报文。

而釆用 Bayes ian Networks等统计模型，可以对时间长度 T进行调整，但是该方法具有 "抗噪声" 差的弱点，当扫描者在扫描时加入大量源地址、源端口随机伪造的 "噪声，，扫描，将导致时间长度 T的提高，时间长度 T越长，由于在该时间长度 T内接收到的数据包都要緩存，因此将浪费掉大量的内存和 CPU的检测时间，不利于提高端口扫描的效率。

snor t检测方法可以在一个时间长度 T内，检测从同一个源地址 X发往不同目的地址 Y的报文是否多于设定的阈值 N个，当该报文数量多于 N个时，则确定为端口扫描行为。同样的 scanlogd检测的也是所有的端口，不管端口是开放的还是不开放的， por t sent ry检测的则是不开放的端口， synlog检测方法记录网络上半连接的状态，通过检测是否为半连接状态，从而检测是否为端口扫描行为。

上述检测方法中， snort检测方法中保存有扫描列表，该扫描列表中用源地址来进行分类，即接收不同源地址发送的报文，但该检测方法对不同源地址发送的报文不进行关联，并且在该检测方法中时间长度 T和设置的阈值 N虽然可以设定，但是设定后就不能改变了，而针对不同的网络、不同的设备会出现不同的情况，因此 4艮难确定出一个针对哪种场景都适用的 T和 N值，因此基本上很难针对每种场景都能达到较好的检测效果。发明内容

本发明实施例提供一种确定 TCP端口扫描的方法及装置，用以解决现有技术在进行端口扫描检测时，效率低、适用范围窄的问题。

本发明实施例提供了一种确定 TCP端口扫描的方法，适用于通过转发装置进行报文转发的场景，所述方法包括：

转发装置根据适用于通过转发装置进行报文转发的场景设置的白名单规则，过滤出待确定的端口扫描 4艮文；

根据 TCP报文中 SYN报文的特征，在待确定的端口扫描报文中识别 SYN报文；针对识别出的每个 SYN ·ί艮文，根据该 SYN ·ί艮文的源地址信息和目的地址信息，构造 SYN 报文的响应确认 SYN加 ACK报文，并向该 SYN报文的源地址信息对应的设备发送；

检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文；当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文时，检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端 α；

当确定有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，统计该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量，检测该 SYN报文数量是否大于设定的阈值 N1；

当该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN 报文数量大于设定的阈值 N1时，确定该源地址信息对应的设备在进行 TCP端口扫描。

较佳地，所述方法还包括：

根据确定出的进行 TCP端口扫描的设备发送的 SYN报文，生成告警日志；或，当确定该源地址信息对应的设备进行 TCP端口扫描时，通知管理员；或，

根据确定出的进行 TCP端口扫描的设备发送 SYN报文的特征，更新白名单规则。

较佳地，检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，还包括：

当确定没有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，

所述转发装置根据该 SYN报文的源地址信息对应的设备发送的后续查询报文，确定是否获取目的端口对应的特定信息；

当所述 SYN报文的源地址信息对应的设备发送的后续查询报文获取目的端口对应的特定信息时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则确定为该源地址信息对应的设备没有在进行 TCP端口扫描。

较佳地，所述待确定的端口扫描报文中识别 S YN报文包括：

所述转发装置根据保存的报文特征库中的 TCP标志位，在待确定的端口扫描报文中识别 TCP ·ί艮文；在识别出的 TCP报文中，根据报文的类型标识位，在该 TCP报文中识别出 SYN报文。较佳地，检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK 4艮文还包括：

当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文时，检测在设定的时间长度 T2 内，该 SYN报文的源地址信息对应的设备发往不同目的地址的报文的数量是否大于设定的阈值 N2 ;

当该源地址信息的设备发往不同目的地址的报文的数量大于设定的阈值 N2 时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则，确定该源地址信息对应的设备未进行 TCP端口扫描。

本发明实施例提供了一种确定 TCP端口扫描的装置，适用于通过转发装置进行 4艮文转发的场景，所述装置包括：

过滤模块，用根据设置的白名单规则，过滤出待确定的端口扫描报文，

设别模块，根据 TCP报文中 SYN报文的特征，在待确定的端口扫描报文中识别出 SYN 报文；

构造发送模块，用于针对识别出的每个 SYN报文，根据该 SYN报文的源地址信息和目的地址信息，构造 SYN报文的响应确认 SYN加 ACK报文，并向该 SYN报文的源地址信息对应的设备发送；

确定模块，用于检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文；当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文时，检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口；当确定有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，统计该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量，检测该 SYN报文数量是否大于设定的阈值 N1 ; 当该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量大于设定的阈值 N1 时，确定该源地址信息对应的设备在进行 TCP端口扫描。

较佳地，所述方法还包括：

告警模块，用于根据确定出的进行 TCP端口扫描的设备发送的 SYN报文，生成告警日志；或，当确定该源地址信息对应的设备进行 TCP端口扫描时，通知管理员；或，根据确定出的进行 TCP端口扫描的设备发送的 SYN ·ί艮文的特征，更新白名单规则。

较佳地，所述确定模块，还用于检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，当确定没有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，根据该 SYN报文的源地址信息对应的设备发送的后续查询报文，确定是否获取目的端口对应的特定信息；当所述 SYN报文的源地址信息对应的设备发送的后续查询 4艮文获取目的端口对应的特定信息时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则确定为该源地址信息对应的设备没有在进行 TCP 端口扫描。

较佳地，所述设别模块，用于所述转发装置根据保存的报文特征库中的 TCP标志位，在待确定的端口扫描 ·ί艮文中识别 TCP ·ί艮文；在识别出的 TCP ·ί艮文中，居 ·ί艮文的类型标识位，在该 TCP ·ί艮文中识别出 SYN ·ί艮文。

较佳地，所述确定模块，还用于检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文还包括：当该源地址信息对应的设备没向该目的地址信息对应的设备发送 ACK报文时，检测在设定的时间长度 Τ2 内，该 SYN报文的源地址信息对应的设备发往不同目的地址的报文的数量是否大于设定的阈值 Ν2 ; 当该源地址信息的设备发往不同目的地址的报文的数量大于设定的阈值 Ν2 时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则，确定该源地址信息对应的设备未进行 TCP端口扫描。

本发明实施例提供一种确定 TCP端口扫描的方法及装置，该方法包括：转发装置在过滤出的待确定的端口扫描报文中，识别出 SYN报文，根据识别出的 SYN报文的源地址信息和目的地址信息，构造 SYN报文的响应 SYN加 ACK报文，并向该 SYN报文的源地址信息对应的设备发送，当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文，同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN ·ί艮文数量大于设定的阈值 N1 时，确定该源地址信息对应的设备在进行 TCP端口扫描。由于在本发明实施例中根据构造的 SYN+ACK 4艮文，来检测端口扫描，因此该方法可以检测出隐蔽和半隐蔽方式的 TCP端口扫描，并且还可以检测出低速 TCP端口扫描，提高了该检测方法的适用范围，另外由于该方法中无需设置时间阈值 T, 因此无需緩存大量的报文，节省了系统的资源，并提高了端口扫描的确定效率。附图说明

图 1为源设备 (攻击设备 )和目的设备 (被攻击设备 )在进行 SYN报文交互的过程示意图；

图 1为本发明实施例提供的该确定 TCP端口扫描的过程示意图；

图 3为报文特征示意图；

图 4为本发明实施例提供的该确定 TCP端口扫描的具体实施过程示意图；图 5为本发明实施例提供的确定 TCP端口扫描的步骤 S 5的流程示意图；图 6为本发明实施例提供的确定 TCP端口扫描的步骤 S 6的流程示意图；

图 7为本发明实施例提供的一种确定低速 TCP端口扫描的装置结构示意图。具体实施方式

本发明为了在通过转发装置进行报文转发时，提高 TCP端口扫描的检测效率，并扩大检测方法的适用范围，本发明实施例提供了一种确定 TCP端口扫描的方法及装置。

下面结合说明书附图，对本发明进行详细说明。

图 1为源设备 (攻击设备 )和目的设备 (被攻击设备 )在进行 SYN报文交互的过程示意图，在图 1中当源设备和目的设备在进行 SYN报文交互时，源设备向目的设备首先发送 SYN报文，之后目的设备向源设备返回 SYN加 ACK报文，之后源设备向目的设备返回响应报文确认 ACK报文，与该目的设备建立连接。但是当该源设备在进行端口扫描时，为了避免目的设备获取该源设备的信息后，追溯该攻击设备，因此在这种情况下，该通常源设备向目的设备发送的响应报文为终止 RST报文，来中断与目的设备之间的连接。但是在实际的端口扫描中，攻击设备接收到 S YN加 ACK ·ί艮文后不会再发送 RST ·ί艮文来终止此次连接 , 仅仅是扫描了相关端口是否是打开的，对于转发装置来说，相关端口被扫描的记录也是大量的（保存起来相对容易），但是如果对于每一条扫描都进行甄别的话，对于转发装置就不是将这些信息保存起来那么筒单，需要大量运算能力，势必增加对于转发装置的成本。当然，发现某端口开放的情况下，后续将会建立连接，以期进一步获取被攻击设备的信息。同时，攻击设备对被攻击设备进行扫描时，攻击设备会扫描到被攻击设备中不存在的源地址或源端口。本发明的发明重点就是基于攻击设备在扫描被攻击设备相关端口后的端口扫描行为的判别。

因此，在本发明实施例提供的两个设备通过转发装置进行报文转发的场景中，为了有效的确定 TCP端口扫描，当源设备和目的设备通过转发装置在进行报文的交互时，提供了该确定 TCP端口扫描的方法及装置。

图 1为本发明实施例提供的该确定 TCP端口扫描的过程示意图，该过程包括以下步骤：

S201 : 转发装置根据设置的白名单规则，过滤出待确定的端口扫描报文，并建立包括所述待确定的端口扫描 4艮文中的源地址、目的地址和源端口的列表。

本发明实施例提供的该确定 TCP端口扫描的方法，适用于设备之间通过转发装置进行报文的交互的场景，该转发装置例如可以为交换机。在本发明实施例中为了实现对 TCP端口扫描设备的检测，当转发装置接收到设备之间交互的报文时，根据设置的白名单规则过滤出待确定的端口扫描 4艮文。

其中，在该设置的白名单规则中保存有源地址信息、源端口信息、目的地址信息以及目的端口信息之间的关系，根据该关系转发装置可以过滤出异常 ·ί艮文，即待确定的端口扫描报文。根据设置的白名单规则过滤出异常报文的过程属于现有技术，在本发明实施例中就不对此过程进行赘述。

S202: 才据 TCP ·ί艮文中 SYN ·ί艮文的特征，在待确定的端口扫描 ·ί艮文中识别 SYN ·ί艮文。当转发装置过滤出了待确定的端口扫描报文后，为了实现对 TCP端口扫描设备的识别，转发装置根据报文中的 TCP标志位，判断每个待确定的端口扫描报文是否为 TCP报文，并在判断该报文为 TCP报文时，根据该报文的具体类型，判断该报文是否为 SYN报文，最终在待确定的端口扫描 ·ί艮文中识别出 S ΥΝ ·ί艮文。

S203: 针对识别出的每个 SYN报文，根据该 SYN报文的源地址信息和目的地址信息，构造 SYN报文的响应确认 SYN加 ACK报文，并向该 SYN报文的源地址信息对应的设备发送。

为了准确的判断发送该报文的设备是否在进行 TCP端口扫描，当转发装置识别出 SYN 报文后，根据该 SYN报文的源地址信息和目的地址信息，模仿该目的地址信息对应的设备，构造 SYN报文的响应确认 ACK报文，即构造 SYN加 ACK报文，将该 SYN报文中的源地址信息作为目的地址信息，将该 SYfU艮文中的目的地址信息作为源地址信息，并将该 SYN加 ACK 报文发送给 SYN报文中的源地址信息对应的设备。

S204: 检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK 报文。

S205: 当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文时，检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口。

目的地址信息对应设备 (被扫描者）的目的地址或目的端口一般是指定或固定打开的，进一步这里的被扫描者只有数个目的地址或数个端口是打开的，但是扫描者一般会对被扫描者的某个目的地址段或数个端口进行扫描，也就是说扫描者会在一个时间段内扫描被扫描者的存在和不存在的目的地址或目的端口。因此在本发明实施例中通过检测是否存在同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，来确定该源地址信息对应的设备是否在进行 TCP端口扫描。

S206: 当确定有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，统计该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量，检测该 SYN报文数量是否大于设定的阈值 N1。 S207: 当同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量大于设定的阈值 N1时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则，确定该源地址信息对应的设备在未进行 TCP端口扫描。

同时是指在一个时间段内出现同时扫描被扫描者的存在和不存在的目的地址或目的端口的情形。

本 S204—S207步骤中，转发装置首先根据接收到的源地址信息对应的设备返回的报文 ACK报文，判断是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK 报文，这是因为如果该目的地址信息对应的设备收到 ACK报文的情况下，其中目的地址信息对应的设备必然是包括大量的非端口扫描的情形，对于这种情况，一般釆用统计常规的某个时间长度下的不同目的端口或目的地址的报文数量来判定即可，但是这种方式会出现了大量误报的情形。而对于攻击设备访问被攻击设备的情形来说，就不宜釆用一般的常规方法了。

当确定该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文后，也即该源地址信息对应的设备与该目的地址信息对应的设备建立了连接，转发装置检测在时间长度 T1内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，这里的时间长度 TI可以进行一个设定，例如是 l s、 2s和 1分钟等等；而转发装置就是在这个设定的时间长度 T1 内检测是否有同时扫描被攻击设备一端中的存在和不存在的目的地址或目的端口，一般而言，攻击设备会需要判定哪些端口或地址可用的，因此也就会扫描到不存在的目的地址或目的端口，尤其是被攻击设备的地址或端口发生变化时，攻击设备更会扫描到不存在的目的地址或目的端口。这是判断攻击设备是否是进行端口扫描的条件之一。

而具有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的情形时，通过统计该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量，检测该 SYN报文数量是否大于设定的阈值 N1 ; 当同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量大于设定的阈值 N1 时，确定该源地址信息对应的设备在进行 TCP端口扫描；否则就不是进行 TCP端口扫描。其中 N1为设定值。

由于在本发明实施例中根据构造的 SYN报文的 ACK报文，来检测端口扫描，因此该方法可以检测出半隐蔽方式的 TCP端口扫描，并且还可以检测出低速 TCP端口扫描，提高了该检测方法的适用范围。

具体的，在本发明实施例中转发装置中设置有白名单规则，当源设备和目的设置之间通过转发装置进行报文的交互时，转发装置接收设备之间交互的报文，根据设置的白名单规则，过滤每个报文是否可能为端口扫描报文，即过滤出待确定的端口扫描报文。

转发装置过滤出待确定的端口扫描 ·ί艮文后，将每个待确定的端口扫描 ·ί艮文保存在 ·ί艮文特征库中，该 ·ί艮文特征库存储在硬盘上。所有的待确定的端口扫描 ·ί艮文都保存在该 ·ί艮文特征库中，只有识别出该待确定的端口扫描报文为端口扫描报文时，才将该端口扫描报文从该 4艮文特征库中移出。

转发装置将过滤出的每个待确定的端口扫描报文保存在报文特征库后，根据 TCP报文中 SYN报文的特征，识别每个待确定的端口扫描报文是否为 SYN报文。转发装置在具体根据 TCP ·ί艮文中 SYN ·ί艮文的特征，在待确定的端口扫描 ·ί艮文中识别 SYN ·ί艮文时包括：

所述转发装置根据保存的报文特征库中的 TCP标志位，在待确定的端口扫描报文中识别 TCP ·ί艮文；

在识别出的 TCP报文中，根据报文的类型标识位，在该 TCP报文中识别出 SYN报文。在具体识别 SYN报文时，首先识别每个待确定的端口扫描报文是否为 TCP报文，因此对于每个报文其具体的报文特征如图 3所示，对于每个报文其包含时间信息、七元组信息、报文标识位信息报文内容信息等信息，其中七元组信息包括源 IP 地址信息、目的 IP地址信息、源 MAC地址信息、目的 MAC地址信息、源端口信息、目的端口信息、报文包含的字节数信息等。

因此转发装置根据保存的报文特征库中的 TCP标识位，根据每个待确定的端口扫描报文是否具有该 TCP标志位，从而识别该待确定的端口扫描报文是否为 TCP报文；当在待确定的端口扫描报文中识别出 TCP报文后，识别每个 TCP报文的类型标识位，根据每个 TCP 报文的类型标识位，判断该 TCP报文是否为 SYN报文。

转发装置针对确定的每个 SYN报文，为了确定发送该 SYN报文的设备是否在进行 TCP 端口扫描，转发装置针对识别出的每个 SYN ·ί艮文，据该 SYN ·ί艮文的源地址信息和目的地址信息，模仿该目的地址信息对应的设备 , 向该源地址信息对应的设备发送 S ΥΝ加 ACK报文，具体的该 SYN加 ACK ·ί艮文的源地址信息和目的地址信息，分别为该 SYN端 ·ί艮文的目的地址信息和源地址信息。并且，转发装置根据接收到该 SYN报文的源地址信息对应的设备，发送的响应报文，确定该源地址信息对应的设备是否在进行 TCP端口扫描。

具体的，在本实施中，检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文还包括：

当该源地址信息对应的设备没向该目的地址信息对应的设备发送 ACK报文时，检测在设定的时间长度 T2 内，该 SYN报文的源地址信息对应的设备发往不同目的地址的报文的数量是否大于设定的阈值 N2；

图 4为本发明实施例提供的该确定 TCP端口扫描的具体实施过程示意图，该过程包括以下步骤：

S401 : 转发装置根据设置的白名单规则，过滤出待确定的端口扫描报文。

S402:根据 TCP ·ί艮文中 SYN ^艮文的特征，在待确定的端口扫描 ·ί艮文中识别出 SYN ^艮文。

S403: 针对识别出的每个 SYN报文，根据该 SYN报文的源地址信息和目的地址信息，构造 SYN报文的响应确认 ACK报文，并向该 SYN报文的源地址信息对应的设备发送。

S404: 检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK 报文，当判断结果为是时，进行步骤 S405; 当判断结果为否时，进行步骤 S5。

S405 , 检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，当判断结果为是时，进行步骤 S406; 当判断结果为否时，进行步骤 S6。

S406: 统计该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量，检测该 SYN报文数量是否大于设定的阈值 N1 , 当判断结果为是时，进行步骤 S407; 当判断结果为否时，进行步骤 S408。

S407: 当该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量大于设定的阈值 N1时，确定该源地址信息对应的设备在进行 TCP端口扫描。

S408: 确定该源地址信息对应的设备非 TCP端口扫描。

S5: 基于源地址信息对应的设备发送不同目的地址的报文的数量检测。

S6: 基于 SYN报文的源地址信息对应的设备发送的后续查询报文查询信息检测。

所述步骤 S5具体实施流程图包括如下步骤：

S501 :当该源地址信息对应的设备没有向该目的地址信息对应的设备发送 ACK报文时，检测在设定的时间长度 T2 内，该 SYN报文的源地址信息对应的设备发往不同目的地址的报文的数量是否大于设定的阈值 N2 , 当判断结果为是时，进行步骤 S502 , 否则，进行步骤 S503。

S502 当该源地址信息的设备发往不同目的地址的报文的数量大于设定的阈值 N2时，确定该源地址信息对应的设备在进行 TCP端口扫描。 S503: 确定该源地址信息对应的设备未进行 TCP端口扫描。

如图 6所示，所述步骤 S6具体实施流程图包括如下步骤：

S601 : 所述转发装置根据该 SYN报文的源地址信息对应的设备发送的后续查询报文，确定是否获取目的端口对应的特定信息，当判断结果为是，进行步骤 S602 , 否则，进行步骤 603。

S602: 当所述 SYN报文的源地址信息对应的设备发送的后续查询报文获取目的端口对应的特定信息时，确定该源地址信息对应的设备在进行 TCP端口扫描。

S603: 确定为该源地址信息对应的设备没有在进行 TCP端口扫描。

在步骤 S601 中提出后续查询报文用于确定是否获取目的端口对应的特定信息。例如端口 21 , 正常后续 ·ί艮文用于访问目录和请求文件传输，而异常后续 ·ί艮文可能用于取得服务器类型和取得版本号。这些异常后续报文就是端口。

表 1为端口与后续查询报文表

端口对应服务具体服务器例正常后续 ·ί艮文例异常后续报文例

取得服务器类型，

SERV-U

访问目录如是 SERV-U 还是

21 FTP服务 Fi leZi l la

请求文件传输 Fi leZi 1 la-Server -Server

接着取得版本号

1 、

freeSSHd

22 SSH服务 2 、常用命令探测系统信息命令

openSSHd

1、取得服务器访问目录

69 TFTP服务很多类型，接着取得版请求文件传输

本号等信息

取得服务器具体类

I IS 型报文

80 WEB服务 APACHE 网址请求 ·ί艮文知道类型后，取得

NGNIX 相应服务器版本报文另外，在本发明实施例中该 TCP报文还包括 FIN报文及其他非 SYN类型的报文，当转发装置识别出待确定的端口扫描报文非 SYN报文时，为了检测发送该非 SYN报文的设备是否在进行 TCP端口扫描，在本发明实施例中该方法还包括：

检测在设定的时间长度 T内，该非 SYN报文的源地址信息对应的设备发往不同目的地址的报文的数量是否大于设定的阈值 N;

当该源地址信息对应的设备发往不同目的地址的报文的数量大于设定的阈值 N时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则，确定该源地址信息对应的设备未进行 TCP端口扫描。

在现有技术中一般在过滤出待确定的端口扫描 ·ί艮文后，直接将该 ·ί艮文丢弃，不能主动进行防御，本发明实施例中为了有效的提高 TCP端口扫描的检测效率，并能够针对 TCP端口扫描进行主动防御，该方法还包括：

根据确定出的进行 TCP端口扫描的设备发送的 SYN报文的特征，更新白名单规则。在本发明实施例中当转发装置检测到设备进行 TCP端口扫描时，进行告警。并将该 SYN 报文从报文特征库中移出。在进行告警时，可以设置告警级别信息。例如当转发装置确定设备进行 TCP端口扫描时，可以将告警级别设置为 0, 当确定该端口扫描为 TCP半隐蔽的 SYN报文扫描时，可以将告警级别设置为 1。因此当管理员接收到不同的告警级别信息后，可以准确的确定出端口扫描的具体类型。

为了提高对端口扫描设备处理的效率，在本发明实施例中当检测到设备在进行 TCP端口扫描时，转发装置通过短信或电话的形式通知管理员。另外，由于通过构造 SYN加 ACK 报文的形式，确定了进行 TCP端口扫描的设备，因此为了产生报警联动，转发装置将该 SYN 报文的特征更新到白名单规则中，以便该白名单规则能够过滤出满足该 SYN报文特征的扫描报文。

图 7为本发明实施例提供的一种确定 TCP端口扫描的装置的结构示意图，适用于通过转发装置进行 4艮文转发的场景，所述装置包括：

过滤模块 71 , 用于根据设置的白名单规则，过滤出待确定的端口扫描报文；识别模块 72 , 用于根据 TCP报文中 SYN报文的特征，在待确定的端口扫描报文中识别出 SYN ·ί艮文；

构造发送模块 73 , 用于针对识别出的每个 SYN报文，根据该 SYN报文的源地址信息和目的地址信息，构造 SYN报文的响应确认 SYN加 ACK报文，并向该 SYN报文的源地址信息对应的设备发送；

确定模块 74 ,用于检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文；当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文时，检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口；当确定有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，统计该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量，检测该 SYN报文数量是否大于设定的阈值 N1 ; 当该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN报文数量大于设定的阈值 N1时，确定该源地址信息对应的设备在进行 TCP端口扫描。

所述装置还包括：

告警模块 75 , 用于根据确定出的进行 TCP端口扫描的设备发送的 SYN报文，生成告警日志；或，当确定该源地址信息对应的设备进行 TCP端口扫描时，通知管理员；或，根据确定出的进行 TCP端口扫描的设备发送的 SYN ·ί艮文的特征，更新白名单规则。

所述确定模块 74 , 还用于检测在时间长度 T1 内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，当确定没有有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，根据该 SYN报文的源地址信息对应的设备发送的后续查询报文，确定是否获取目的端口对应的特定信息；当所述 SYN报文的源地址信息对应的设备发送的后续查询 4艮文获取目的端口对应的特定信息时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则确定为该源地址信息对应的设备没有在进行 TCP端口扫描。

所述识别模块 72 , 具体用于根据保存的报文特征库中的 TCP标志位，在待确定的端口扫描报文中识别 TCP报文；在识别出的 TCP报文中，根据报文的类型标识位，在该 TCP报文中识别出 SYfU艮文。

所述确定模块 74 ,还用于检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文还包括：当该源地址信息对应的设备没向该目的地址信息对应的设备发送 ACK报文时，检测在设定的时间长度 T2 内，该 SYN报文的源地址信息对应的设备发往不同目的地址的报文的数量是否大于设定的阈值 N2 ; 当该源地址信息的设备发往不同目的地址的报文的数量大于设定的阈值 N2 时，确定该源地址信息对应的设备在进行 TCP 端口扫描，否则，确定该源地址信息对应的设备未进行 TCP端口扫描。

具体的，该装置可以位于交换机中。

本发明实施例提供一种确定 TCP端口扫描的方法及装置，该方法包括：转发装置在过滤出的待确定的端口扫描报文中，识别出 SYN报文，根据识别出的 SYN报文的源地址信息和目的地址信息，构造 SYN报文的响应 SYN加 ACK报文，并向该 SYN报文的源地址信息对应的设备发送，当该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文，同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的 SYN ·ί艮文数量大于设定的阈值 N1 时，确定该源地址信息对应的设备在进行 TCP端口扫描。由于在本发明实施例中根据构造的 SYN+ACK 4艮文，来检测端口扫描，因此该方法可以检测出隐蔽和半隐蔽方式的 TCP端口扫描，并且还可以检测出低速 TCP端口扫描，提高了该检测方法的适用范围，另外由于该方法中无需设置时间阈值 T, 因此无需緩存大量的报文，节省了系统的资源，并提高了端口扫描的确定效率。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可釆用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可釆用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介盾（包括但不限于磁盘存储器、 CD-R0M、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

权利要求

1、一种确定 TCP 端口扫描的方法，适用于通过转发装置进行 ·ί艮文转发的场景，其特征在于，所述方法包括：

转发装置根据设置的白名单规则，过滤出待确定的端口扫描报文，根据 TCP报文中 S YN •ί艮文的特征，在待确定的端口扫描 ·ί艮文中识别出 SYN ·ί艮文；针对识别出的每个 SYN ·ί艮文，根据该 SYN报文的源地址信息和目的地址信息，构造 SYN报文的响应确认 SYN加 ACK报文，并向该 SYN报文的源地址信息对应的设备发送；

2、如权利要求 1所述的方法，其特征在于，所述方法还包括：

3、如权利要求 1所述的方法，其特征在于，检测在时间长度 T1内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，还包括：

4、如权利要求 1 所述的方法，其特征在于，所述待确定的端口扫描报文中识别 SYN 报文包括：

在识别出的 TCP报文中，根据报文的类型标识位，在该 TCP报文中识别出 SYN报文。

5、如权利要求 1 所述的方法，其特征在于，检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK ·ί艮文还包括：

6、一种确定 TCP 端口扫描的装置，适用于通过转发装置进行 ·ί艮文转发的场景，其特征在于，所述装置包括：

7、如权利要求 6所述的装置，其特征在于，所述方法还包括：

8、如权利要求 6 所述的装置，其特征在于，所述确定模块，还用于检测在时间长度 T1内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口，当确定没有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，才艮据该 SYN报文的源地址信息对应的设备发送的后续查询报文，确定是否获取目的端口对应的特定信息；当所述 SYN报文的源地址信息对应的设备发送的后续查询报文获取目的端口对应的特定信息时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则确定为该源地址信息对应的设备没有在进行 TCP端口扫描。

9、如权利要求 6 所述的装置，其特征在于，所述设别模块，用于所述转发装置根据保存的 ·ί艮文特征库中的 TCP标志位，在待确定的端口扫描 ·ί艮文中识别 TCP ^i艮文；在识别出的 TCP报文中，根据报文的类型标识位，在该 TCP报文中识别出 SYN报文。

10、如权利要求 6所述的装置，其特征在于，所述确定模块，还用于检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送 ACK报文还包括：当该源地址信息对应的设备没向该目的地址信息对应的设备发送 ACK报文时，检测在设定的时间长度 T2 内，该 SYN报文的源地址信息对应的设备发往不同目的地址的报文的数量是否大于设定的阈值 N2 ; 当该源地址信息的设备发往不同目的地址的报文的数量大于设定的阈值 N2时，确定该源地址信息对应的设备在进行 TCP端口扫描，否则，确定该源地址信息对应的设备未进行 TCP端口扫描。