【技术实现步骤摘要】
一种端口扫描攻击检测方法、装置及电子设备
本申请涉及安全防护
,尤其涉及一种端口扫描攻击检测方法、装置、电子设备及机器可读存储介质。
技术介绍
端口扫描攻击是一种常见的网络攻击方式,攻击者针对目标服务器的端口逐个进行扫描,以发现目标服务器开放的端口,进而可以利用为这些端口分配的服务中的漏洞进行攻击。在实际应用中,TCPSYN扫描是一种常见的端口扫描攻击方式,其原理是:攻击者可以利用扫描程序向目标服务器发送SYN数据包,该SYN数据包中包含着若干与不同目的端口号对应的SYN(TCP连接建立请求)报文;目标服务器收到一个SYN报文后,如果该SYN报文请求的TCP端口是开放的,则响应于该SYN报文返回一个SYN_ACK报文,如果该SYN报文请求的TCP端口未开放,则响应于该SYN报文返回一个RST报文;攻击者根据目标服务器响应于不同的SYN报文返回的SYN_ACK报文或RST报文,可以检测目标服务器开放的端口。然而,由于扫描程序发送的SYN数据包可以伪装成正常的TCP连接建立请求报文,大多数TCPSYN扫描攻...
【技术保护点】
1.一种端口扫描攻击检测方法,应用于安全防护设备,其特征在于,所述方法包括:/n接收待检测的SYN报文和与所述SYN报文对应的SYN_ACK报文;/n统计接收到的SYN报文的第一数量;以及,统计接收到的与所述SYN报文对应的SYN_ACK报文的第二数量;/n检测所述第一数量与所述第二数量的差值是否到达预设阈值;/n如果是,则确定存在端口扫描攻击行为。/n
【技术特征摘要】
1.一种端口扫描攻击检测方法,应用于安全防护设备,其特征在于,所述方法包括:
接收待检测的SYN报文和与所述SYN报文对应的SYN_ACK报文;
统计接收到的SYN报文的第一数量;以及,统计接收到的与所述SYN报文对应的SYN_ACK报文的第二数量;
检测所述第一数量与所述第二数量的差值是否到达预设阈值;
如果是,则确定存在端口扫描攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述统计接收到的SYN报文的第一数量,包括:
根据接收到的SYN报文的源IP地址和目的IP地址,确定所述SYN报文命中的统计表项;其中,所述统计表项中包括源IP地址、目的IP地址和第一数量;
将所述SYN报文命中的统计表项中的第一数量加1。
3.根据权利要求1所述的方法,其特征在于,所述统计接收到的SYN报文的第一数量,包括:
根据接收到的SYN报文的源IP地址和目的IP地址,未命中统计表项时,生成与所述SYN报文对应的统计表项;
将所述生成的统计表项中的第一数量设置为1。
4.根据权利要求2所述的方法,其特征在于,所述统计表项中还包括hash值;其中,所述hash值包括根据第一参数和第二参数基于预设的hash算法计算出的hash值;
所述根据接收到的SYN报文的源IP地址和目的IP地址,确定所述SYN报文命中的统计表项,包括:
将接收到的SYN报文的源IP地址作为所述第一参数,将接收到的SYN报文的目的IP地址作为所述第二参数,基于预设的hash算法计算出与所述SYN报文对应的hash值;
查找是否存在统计表项中的hash值和与所述SYN报文对应的hash值相同;
如果存在,则确定所述统计表项为所述SYN报文命中的统计表项。
5.根据权利要求2所述的方法,其特征在于,所述统计表项中还包括目的端口号;
确定所述SYN报文命中的统计表项后,还包括:
确定所述SYN报文命中的统计表项中的目的端口号是否记录有所述SYN报文的目的端口号;
如果没有记录,则将所述命中的统计表项中的第一数量加1,并在所述命...
【专利技术属性】
技术研发人员:黄港,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。