The invention discloses a network scanning detection method and detection system based on TCP flow status. The method includes: collecting network exit mirror traffic data packet in real time, creating a state storage structure of TCP flow or updating a matching state storage structure of TCP flow based on the traffic data packet, and periodically carrying out high frequency scanning detection for each IP address initiating active connection. If the IP address corresponds to the high-frequency scanning behavior, the IP address is added to the scanning alarm list; if it does not exist, the IP address without high-frequency scanning behavior is detected by low-frequency scanning. If the IP address corresponds to the low-frequency scanning behavior, the IP address is added to the scanning alarm list, otherwise the IP address does not exist scanning behavior. The method of the invention also realizes the low frequency scanning detection on the basis of the high frequency scanning detection, realizes the scanning detection more comprehensively, and improves the reliability of the network scanning detection results.
【技术实现步骤摘要】
一种基于TCP流状态的网络扫描检测方法及检测系统
本专利技术属于网络安全
,具体涉及一种基于TCP流状态的网络扫描检测方法及检测系统。
技术介绍
黑客在发起网络攻击前一般会利用网络扫描工具对目标网段进行端口扫描,检测目标网络主机和服务器开放监听端口以及对外提供网络服务的情况。并根据端口扫描结果,进而使用相应的工具和手段进行渗透攻击。目前,被广泛使用的网络扫描工具包括NMAP,MASSCAN等,这些工具可以分别利用基于TCP协议和UDP协议的检测技术对主机的端口开放进行检测,其中,基于TCP协议的检测技术主要利用TCP三次握手协议在不同阶段的返回结果对目标IP的TCP端口开放情况进行检测,基于UDP协议的检测技术主要根据是否有ICMP不可达包来判断UDP端口的开放情况。相较而言,基于TCP协议的网络扫描技术的适用范围更广,检测结果更加准确,在网络攻击中应用的也更为广泛。因此,如果在网络流量监测中能对基于TCP协议的网络扫描行为进行精确检测,及时采取有针对性的阻拦措施,就可以有效减少网络安全事件发生的概率,提升网络安全防护水平。然而当前,大部分网络入侵检测系统采用的端口扫描技术通常以一个时间窗口内单个主机发起主动连接的次数是否超过设定的阀值作为分析依据,没有充分考虑扫描行为建立的TCP连接的特征,易于被进行低频扫描的攻击者躲避。
技术实现思路
本专利技术的目的是提供一种基于TCP流状态的网络扫描检测方法及检测系统,其考虑正常的TCP流会经历TCP的三次握手阶段,数据交互阶段和连接断开阶段,而非正常的TCP流一般只经历TCP三次握手的全部或部分阶段以及异常阶段 ...
【技术保护点】
1.一种基于TCP流状态的网络扫描检测方法,其特征在于:包括如下步骤:S1:实时采集网络出口镜像流量数据包,并基于所述流量数据包创建TCP流的状态存储结构或者更新相匹配的TCP流的状态存储结构;所述状态存储结构包括TCP流标识、TCP流主动发起连接请求一方的IP地址、TCP流的当前状态阶段以及TCP流更新时间戳;TCP流的状态阶段类型分为:第一次握手阶段,第二次握手阶段,第三次握手阶段,数据交互阶段,连接断开阶段和异常阶段;其中,若流量数据包所在TCP流的状态存储结构不存在,则创建TCP流的状态存储结构;若流量数据包所在TCP流的状态存储结构已存在,则更新状态存储结构中TCP流的当前状态阶段;S2:周期性对每个发起主动连接的IP地址src进行高频扫描检测,若IP地址src对应存在高频扫描行为,将所述IP地址src加入扫描告警名单;若不存在,再对所述IP地址src执行步骤S3;S3:对S2中不存在高频扫描行为的IP地址src进行低频扫描检测,若所述IP地址src对应存在低频扫描行为,将所述IP地址src加入扫描告警名单,否则认定所述IP地址src不存在扫描行为;其中,若所述IP地址src ...
【技术特征摘要】
1.一种基于TCP流状态的网络扫描检测方法,其特征在于:包括如下步骤:S1:实时采集网络出口镜像流量数据包,并基于所述流量数据包创建TCP流的状态存储结构或者更新相匹配的TCP流的状态存储结构;所述状态存储结构包括TCP流标识、TCP流主动发起连接请求一方的IP地址、TCP流的当前状态阶段以及TCP流更新时间戳;TCP流的状态阶段类型分为:第一次握手阶段,第二次握手阶段,第三次握手阶段,数据交互阶段,连接断开阶段和异常阶段;其中,若流量数据包所在TCP流的状态存储结构不存在,则创建TCP流的状态存储结构;若流量数据包所在TCP流的状态存储结构已存在,则更新状态存储结构中TCP流的当前状态阶段;S2:周期性对每个发起主动连接的IP地址src进行高频扫描检测,若IP地址src对应存在高频扫描行为,将所述IP地址src加入扫描告警名单;若不存在,再对所述IP地址src执行步骤S3;S3:对S2中不存在高频扫描行为的IP地址src进行低频扫描检测,若所述IP地址src对应存在低频扫描行为,将所述IP地址src加入扫描告警名单,否则认定所述IP地址src不存在扫描行为;其中,若所述IP地址src满足下述不等式,则存在对应低频扫描行为;若不满足,则不存在低频扫描行为;式中,dt_threash为预设的低频扫描触发阈值,表示基于各个TCP流的状态存储结构统计的当前周期内属于所述IP地址src发起的连接请求并处于第一次握手阶段,第二次握手阶段,第三次握手阶段以及异常阶段的TCP流总数量;表示基于各个TCP流的状态存储结构统计的当前周期内属于所述IP地址src发起的连接请求并处于各个状态阶段的TCP流总数量。2.根据权利要求1所述的方法,其特征在于:步骤S2中对发起主动连接的IP地址src进行高频扫描检测的过程,均按照如下规律判断:若所述IP地址src满足下述不等式,则存在对应的高频扫描行为;若不满足,则不存在对应的高频扫描行为;式中,tr_threash为预设的高频扫描触发阀值。3.根据权利要求1所述的方法,其特征在于:步骤S1中TCP流的状态存储结构的更新是表示基于流量数据包中的标志位并按照预设更新规律更新TCP流的当前状态阶段,所述更新规律如下:a:当存储了流量数据包相匹配的TCP流的状态存储结构中是第一次握手阶段时,若流量数据包的syn标志位和ack标志位均为1,则将相匹配的TCP流的状态存储结构中TCP流的状态阶段更新为第二次握手阶段;b:当存储了流量数据包相匹配的TCP流的状态存储结构中是第二次握手阶段时,若流量数据包的ack标志位为1,则将相匹配的TCP流的状态存储结构中TCP流的状态阶段更新为第三次握手阶段;c:当存储了流量数据包相匹配的TCP流的状态存储结构中是第三次握手阶段时,若流量数据包的ack标志位和psh标志位均为1,则将相匹配的TCP流的状态存储结构中TCP流的状态阶段更新为数据交互阶段;d:当存储了流量数据包相匹配的TCP流的状态存储结构中是数据交互阶段时,若流量数据包的fin标志位均为1,则将相匹配的TCP流的状态存储结构中TCP流的状态阶段更新为连接断开阶段;e:当存储了流量...
【专利技术属性】
技术研发人员:乔宏,田建伟,田峥,李树,朱宏宇,邹妍晖,黎曦,刘洁,
申请(专利权)人:国网湖南省电力有限公司,国网湖南省电力有限公司电力科学研究院,国家电网有限公司,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。