The invention discloses an Internet host scanning method and system based on host relationship, which obtains network information of all target hosts, including network topology information and historical port, constructs feature vectors corresponding to all target hosts one by one according to network information, clusters all feature vectors with unsupervised clustering algorithm, and obtains the information of all target hosts through clustering All target hosts correspond to each other in the cluster relationship, which includes network topology relationship information and application cluster information. The cluster relationship is used to determine the scanning sequence and scanning interval of all target hosts, and network scanning is performed to obtain port information and / or vulnerability information corresponding to all target hosts. Compared with the traditional scanning method, the Internet scanning method and the scanning method proposed by the system of the invention are more targeted, and the homologous scanning interval of the clustering network cluster is larger within the same scanning time, so as to reduce the impact of Internet scanning on the host work.
【技术实现步骤摘要】
一种基于主机关系的互联网主机扫描方法及系统
本专利技术属于网络主机扫描领域,具体涉及一种基于主机关系的互联网主机扫描方法及系统。
技术介绍
网络信息技术的发展给人类生活带来巨大便利,改变着人类的生活方式。智能家居、智能交通、智能城市等概念的提出推动着物联网设备的互联入网,并以集群或服务平台的方式联合提供服务。与此同时,工业化与信息化的不断融合也推进着工业控制系统采用标准、通用的通信协议和软硬件系统接入互联网。这些接入到互联网的主机设备不可避免的存在漏洞,存在着被黑客攻击的风险。网络主机扫描包括IP扫描、端口扫描和网络服务扫描。IP扫描可以扫描任意范围的IP地址(0.0.0.0)到(255.255.255.255),找到正在使用中的网络主机;端口扫描可以扫描已发现网上主机的端口,范围可以从1到65535,获得已经打开的端口的信息,对端口分析可以知道是否有人在你的电脑上留下了后门;网络服务扫描可以扫描打开的端口,返回端口后台运行的网络服务信息,例如,通常情况下,端口80运行的是HTTP服务。扫描完成后,会给出一份详细的网络扫描报告,以备查阅。除了采用一些被动的网络防御措施外,可以结合网络扫描对互联网上的主机进行发现和识别,并使用一些最新的漏洞验证性脚本进行漏洞检测,识别出网络主机的系统脆弱性。虽然已经有很多网络扫描方法及开源扫描工具被提出,但是几乎没有一种扫描方式可以在高效率收集目标信息的同时减少网络扫描对扫描目标的扫描影响。不当的扫描操作在给目标网络造成负载影响的同时,也影响着扫描源IP的IP信誉,使扫描源IP被一些扫描目标屏蔽网络请求,从而降低网络扫描结果 ...
【技术保护点】
1.一种基于主机关系的互联网主机扫描方法,其特征在于,所述方法包括如下步骤:S1.获取所有目标主机的网络信息,所述网络信息包括网络拓扑信息及历史端口,依据所述网络信息构建与所有目标主机一一对应的特征向量;S2.对所有特征向量使用无监督聚类算法进行聚类,通过聚类得到与所有目标主机一一对应的分群关系,所述分群关系包括网络拓扑关系信息和应用集群信息;S3.利用所述分群关系确定所有目标主机的扫描顺序及扫描间隔,执行网络扫描,以获取所有目标主机对应的端口信息和/或漏洞信息。
【技术特征摘要】
1.一种基于主机关系的互联网主机扫描方法,其特征在于,所述方法包括如下步骤:S1.获取所有目标主机的网络信息,所述网络信息包括网络拓扑信息及历史端口,依据所述网络信息构建与所有目标主机一一对应的特征向量;S2.对所有特征向量使用无监督聚类算法进行聚类,通过聚类得到与所有目标主机一一对应的分群关系,所述分群关系包括网络拓扑关系信息和应用集群信息;S3.利用所述分群关系确定所有目标主机的扫描顺序及扫描间隔,执行网络扫描,以获取所有目标主机对应的端口信息和/或漏洞信息。2.根据权利要求1所述的一种基于主机关系的互联网主机扫描方法,其特征在于,所述特征向量的构建过程为:S11.对目标主机的网络信息进行过滤,滤除存在的IANA保留地址及一些预先设置的黑名单IP段;S12.获得过滤后目标主机IP对应的网络拓扑信息,检索目标主机IP的历史扫描结果以获得开放端口信息,如果不存在历史扫描结果则按目标主机无开放端口处理;S13.对过滤后目标主机IP对应的连续型数据进行归一化处理,对过滤目标主机IP对应的类别型数据进行编码,得到与目标主机IP对应的特征向量。3.根据权利要求1或2所述的一种基于主机关系的互联网主机扫描方法,其特征在于,所述网络拓扑关系信息包括网络主机对应的IP地址、网络主机的地理位置信息和网络主机所属的运营商网段划分。4.根据权利要求3所述的一种基于主机关系的互联网主机扫描方法,其特征在于,所述特征向量的类别型数据维度包括:目标主机对应的IP地址转化为十进制整数型数据;目标主机的地理位置信息转化为经度信息和纬度信息;目标主机的所属的运营商网段;目标主机的开放端口信息,所述开放端口信息包括依据开发端口的开放情况及对应的应用层协议得到的编码信息。5.根据权利要求1-4中任一项所述的一种基于主机关系的互联网主机扫描方法,其特征在于,所述扫描间隔依据应用集群信息设置,所述应用集群信息包括目标主机所在网络集群中设备类型占比。6.一种基于主机关系的互联网主机扫描系统...
【专利技术属性】
技术研发人员:温杰,胡广,秦龙,
申请(专利权)人:武汉安问科技发展有限责任公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。