本申请公开了一种端口扫描的检测方法及装置,用以提高端口扫描的检测精准度。所述方法包括:在组内设备运行过程中,获取组内所有设备接收到的数据包;根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包;当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址。采用本申请所提供的方案,能够获取组内所有设备接收到的数据包,从而可以根据组内所有设备接收到的数据包进行端口扫描的检测,避免漏报,其次,通过数据包的多项参数判断所述数据包是否为端口扫描对应的数据包,避免仅统计数据包数量导致端口扫描的检测精准度低的问题,提升了端口扫描的检测精准度。
【技术实现步骤摘要】
一种端口扫描的检测方法及装置
本申请涉及网络安全领域,特别涉及一种端口扫描的检测方法及装置。
技术介绍
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。往往发生在渗透攻击的初期。现有的端口扫描攻击,由于其原理是通过统计短期内发送的数据包数量来检测的,没有考虑其他因素,所以在检测过程中会存在两个主要问题:1.漏报:传统的端口扫描是对单一的目标进行全端口扫描,近代的端口扫描往往是对一组目标进行单一端口的扫描,现有的检测方法是不能检测到这种扫描的。2.误报:现有的检测方法对于某些短时间会产生大量数据包的应用会产生误报,如:P2P下载等。也会对某类IP产生误报,如组网区域的网络出口,由于这类IP背后的用户很多,也会在短期产生大量数据包。由于现有的检测方式会产生漏报和误报,现有的检测方式对于端口扫描的检测精准度较低,因此,如何提供一种端口扫描的检测方法,以提高端口扫描的检测精准度,是一亟待解决的技术问题。
技术实现思路
本申请实施例的目的在于提供一种端口扫描的检测方法及装置,用以提高端口扫描的检测精准度。为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种端口扫描的检测方法,包括:在组内设备运行过程中,获取组内所有设备接收到的数据包;根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包;当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址。>本申请的有益效果在于:能够获取组内所有设备接收到的数据包,从而可以根据组内所有设备接收到的数据包进行端口扫描的检测,避免漏报,其次,通过数据包的多项参数判断所述数据包是否为端口扫描对应的数据包,避免仅统计数据包数量导致端口扫描的检测精准度低的问题,提升了端口扫描的检测精准度。在一个实施例中,所述根据数据包的多项参数判断所述数据包是否为端口扫描对应的数据包,包括:根据数据包对应的源地址确定非可信数据包;根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包;根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包。在一个实施例中,所述根据数据包对应的源地址确定非可信数据包,包括:根据第二预设规则确定可信地址;确定组内所有设备接收到的数据包中,除所述可信地址对应的数据包之外的其他数据包为非可信数据包。在一个实施例中,所述根据第二预设规则确定可信地址,包括:从域名信息查询服务对应的网站中抓取全球域名的排名信息;确定所述排名信息中高于预设排名的域名为可信地址;和/或获取本地预存储的地址白名单;确定所述地址白名单中的地址为可信地址;和/或确定提供预设服务的服务器地址为可信地址。在一个实施例中,根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包,包括:统计自同一源地址的非可信数据包对应的源地址在预设时间段内发送有效数据包的数量是否大于预设数量,其中,所述有效数据包为目的地址和目的端口都不同的数据包;当大于预设数量时,确定所述非可信数据包为候选数据包。在一个实施例中,当候选数据包对应的源地址为一个时,根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包,包括:判断所述候选数据包是否都小于预设字节数;当所述候选数据包都小于预设字节数时,确定所述候选数据包为端口扫描对应的数据包。在一个实施例中,当候选数据包对应的源地址为多个时,根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包,包括:从所述多个源地址对应的候选数据包中,选取对应于同一源地址,且数量级最大的候选选数据包为目标数据包;判断所述目标数据包是否都小于预设字节数;当所述目标数据包都小于预设字节数时,确定所述目标数据包为端口扫描对应的数据包。在一个实施例中,所述当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址,包括:当所述数据包为端口扫描对应的数据包时,将所述端口扫描对应的数据包的地址存放于预警列表中;从所述预警列表中获取并显示所述端口扫描对应的数据包的地址。本实施例还提供一种端口扫描的检测装置,包括:获取模块,用于在组内设备运行过程中,获取组内所有设备接收到的数据包;判断模块,用于根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包;显示模块,用于当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址。在一个实施例中,所述判断模块,包括:第一确定子模块,用于根据数据包对应的源地址确定非可信数据包;第二确定子模块,用于根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包;选取子模块,用于根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包。在一个实施例中,所述第一确定子模块,用于:根据第二预设规则确定可信地址;确定组内所有设备接收到的数据包中,除所述可信地址对应的数据包之外的其他数据包为非可信数据包。在一个实施例中,所述根据第二预设规则确定可信地址,包括:从域名信息查询服务对应的网站中抓取全球域名的排名信息;确定所述排名信息中高于预设排名的域名为可信地址;和/或获取本地预存储的地址白名单;确定所述地址白名单中的地址为可信地址;和/或确定提供预设服务的服务器地址为可信地址。在一个实施例中,第二确定子模块用于:统计自同一源地址的非可信数据包对应的源地址在预设时间段内发送有效数据包的数量是否大于预设数量,其中,所述有效数据包为目的地址和目的端口都不同的数据包;当大于预设数量时,确定所述非可信数据包为候选数据包。在一个实施例中,当候选数据包对应的源地址为一个时,所述选取子模块,用于:判断所述候选数据包是否都小于预设字节数;当所述候选数据包都小于预设字节数时,确定所述候选数据包为端口扫描对应的数据包。在一个实施例中,当候选数据包对应的源地址为多个时,所述选取子模块,用于:从所述多个源地址对应的候选数据包中,选取对应于同一源地址,且数量级最大的候选选数据包为目标数据包;判断所述目标数据包是否都小于预设字节数;当所述目标数据包都小于预设字节数时,确定所述目标数据包为端口扫描对应的数据包。在一个实施例中,所述显示模块,包括:存放子模块,用于当所述数据包为端口扫描对应的数据包时,将所述端口扫描对应的数据包的地址存放于预警列表中;显示子模块,用于从所述预警列表中获取并显示所述端口扫描对应的数据包的地址。附图说明图1为本申请一实施例中一种端口扫描的检测方法的流程图本文档来自技高网...
【技术保护点】
1.一种端口扫描的检测方法,其特征在于,包括:/n在组内设备运行过程中,获取组内所有设备接收到的数据包;/n根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包;/n当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址。/n
【技术特征摘要】
1.一种端口扫描的检测方法,其特征在于,包括:
在组内设备运行过程中,获取组内所有设备接收到的数据包;
根据所述数据包的多项参数判断所述数据包是否为端口扫描对应的数据包;
当所述数据包为端口扫描对应的数据包时,显示所述端口扫描对应的数据包的源地址。
2.如权利要求1所述的方法,其特征在于,所述根据数据包的多项参数判断所述数据包是否为端口扫描对应的数据包,包括:
根据数据包对应的源地址确定非可信数据包;
根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包;
根据第一预设规则从所述候选数据包中选取端口扫描对应的数据包。
3.如权利要求2所述的方法,其特征在于,所述根据数据包对应的源地址确定非可信数据包,包括:
根据第二预设规则确定可信地址;
确定组内所有设备接收到的数据包中,除所述可信地址对应的数据包之外的其他数据包为非可信数据包。
4.如权利要求3所述的方法,其特征在于,所述根据第二预设规则确定可信地址,包括:
从域名信息查询服务对应的网站中抓取全球域名的排名信息;
确定所述排名信息中高于预设排名的域名为可信地址;
和/或
获取本地预存储的地址白名单;
确定所述地址白名单中的地址为可信地址;
和/或
确定提供预设服务的服务器地址为可信地址。
5.如权利要求2所述的方法,其特征在于,根据来自同一源地址的非可信数据包的有效发送频率确定所述非可信数据包中的候选数据包,包括:
统计自同一源地址的非可信数据包对应的源地址在预设时间段内发送有效数据包的数量是否大于预设数量,其中,所述有效数据包为目的地址和目的端口都不同的数据包;
当大于预设数量时,确定所述非可信数据包为候选数据包。
6.如权利要求2所...
【专利技术属性】
技术研发人员:刘斐然,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。