Scanner网络扫描攻击行为检测方法、介质及终端技术

本发明专利技术属于网络安全技术领域，公开了一种Scanner网络扫描攻击行为检测方法、介质及终端，通过对网卡流量的监督控制实现流量数据包的捕获；对流量特征进行提取；对已经提取的特征信息进行匹配，匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分；分析匹配结果，判断是否存在攻击行为；若确认发生攻击行为，则产生报警日志并进行报警。本发明专利技术针对Scanner的大部分指令进行了有针对性的检测，首创性的实现了对该工具扫描流量的检测方案，补充了现有网络防御手段在该方面的空缺，可以有效的提升网络系统的安全性。该策略的检测方式更多的为针对具体的Scanner工具流量的分析检测，有很强的针对性。有很强的针对性。有很强的针对性。

【技术实现步骤摘要】
Scanner网络扫描攻击行为检测方法、介质及终端


[0001]本专利技术属于网络安全
，尤其涉及一种Scanner网络扫描攻击行为检测方法、介质及终端。具体涉及一种Scanner在正常网络环境中的网络扫描攻击行为的检测方法。

技术介绍

[0002]目前，Scanner是一款由NSA(美国国家安全局)开发的扫描工具，其代码并未开源，于2017年4月14日由Shadow Broker(影子经济人)组织同Eternal Blue(永恒之蓝，wannacry病毒的原型)一起泄露出来，被部分黑客组织利用。
[0003]经逆向分析，Scanner使用C/C++语言编写。其已知的泄露的可执行文件为Linux环境下的elf文件，支持多种类型的扫描功能，包括对Windows系统的主机基本信息扫描、对任意服务主机的TCP服务扫描、开放的各类协议端口扫描等。通过扫描，可获得目标主机的端口开放情况、服务与版本探测、操作系统探测等信息。进而方便网络攻击者分析目标主机可能存在的漏洞，并进行进一步的漏洞攻击。
[0004]相比同类网络探测工具，例如nmap等，Scanner工具的功能较少，同时，由于Scanner并未开源，所以目前可获取的Scanner工具的版本有限。
[0005]因此，其行为特征与流量特征相较而言更难分析，检测与防御的难度更大。由于Scanner工具同Eternal Blue等NSA工具一起被泄露出来，其泄露范围较广、影响力较大，但缺乏在特定的在公共网络环境下的通用性检测策略和手段。
[0006]通过上述分析，现有技术存在的问题及缺陷为：
[0007](1)现有技术在复杂的网络环境下，对Scanner扫描流量数据的准确识别准确率低；漏报率高，系统的适应性和检测效率低下。
[0008](2)现有技术在实际网关环境下，对Scanner扫描流量数据容易产生大量的误报。
[0009]解决以上问题及缺陷的难度为：
[0010]现有的各个工作对Scanner工具的分析均有所不足，或没有相应的文件样本，或没有进行实际的逆向分析与行为分析，所以对流量的各个特征的准确性无法正确把握。
[0011]解决以上问题及缺陷的意义为：
[0012]本专利技术针对Scanner的大部分指令进行了有针对性的检测，首创性的实现了对该工具扫描流量的检测方案，补充了现有网络防御手段在该方面的空缺，可以有效的提升网络系统的安全性。该策略的检测方式更多的为针对具体的Scanner工具流量的分析检测，有很强的针对性，同时，这种检测防御方案可以应用于其他扫描工具，指定相应的检测方案。

技术实现思路

[0013]针对现有技术存在的问题，本专利技术提供了一种Scanner网络扫描攻击行为检测方法、介质及终端。
[0014]本专利技术是这样实现的，一种Scanner网络扫描攻击行为检测方法，包括：
[0015]对所捕获的流量数据包中的特征提取并进行规则匹配，以检测和获取Scanner网络扫描行为的流量并生成告警信息。
[0016]进一步，所述Scanner网络扫描行为的流量包括：对Windows主机信息扫描、主机协议服务扫描、SNMP协议扫描中9项扫描命令，包括winn,win_scan,ftp,mail,t_mysql,ssh,snmp1,snmp2,snmp3。
[0017]进一步，所述Scanner网络扫描攻击行为检测方法具体包括：
[0018]步骤一，通过对网卡流量的监督控制实现流量数据包的捕获；
[0019]步骤二，对流量特征进行提取；
[0020]步骤三，对已经提取的特征信息进行匹配，匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分；
[0021]步骤四，分析匹配结果，判断是否存在攻击行为；
[0022]步骤五，若确认发生攻击行为，则产生报警日志并进行报警。
[0023]进一步，所述步骤二对流量特征进行提取包括：
[0024]通过端口与ip信息完成数据包的分类并产生event，最后将各个event中的数据流量进行解析、得到源端口、目的端口、协议类型、协议头、Payload具体信息。
[0025]进一步，所述步骤三对已经提取的特征信息进行匹配包括针对Payload特征信息进行比对，具体为：
[0026]第i个特征在流量payload中的存在情况为x
i
，其权重为a
i
，并设端口匹配情况为T，其中T、x
i
取值范围为{0,1}，a
i
为正整数，通过如下的计算公式定义匹配程度S；
[0027][0028]并对每类流量进行阈值设定，当S大于这个阈值时判断产生攻击行为，否则判断无攻击行为。
[0029]进一步，所述步骤三对已经提取的特征信息进行匹配还包括针对流量的行为特征信息进行判断，具体为：
[0030]行为特征界定为符合正常协议端口使用逻辑的行为链，第i种行为的存在情况为x
i
，权重为b
i
，并设端口匹配情况为T,其中T、x
i
取值范围为{0,1}，b
i
为正整数，通过如下的公式定义行为的逻辑指数L；
[0031][0032]并对每类流量进行行为匹配程度设定，设置正常行为界限，当L小于该界限时认为其不为正常流量而是扫描攻击流量，否则认为其为正常流量。
[0033]进一步，所述步骤四具体包括：
[0034]根据对Scanner扫描攻击的复现流量，对指数L设定notice/alert两个阈值，通过步骤三得到的S/L值与相应notice/alert阈值进行比较计算，当高于notice阈值但低于alert阈值时产生notice告警信息，当高于alert阈值时产生alert告警信息；
[0035]若存在攻击行为，则在步骤五依据比较阈值的差异生成notice/alert日志信息，
实现入侵检测的识别告警。
[0036]本专利技术的另一目的在于提供一种接收用户输入程序存储介质，所存储的计算机程序使电子设备执行所述Scanner网络扫描攻击行为检测方法。
[0037]本专利技术的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述Scanner网络扫描攻击行为检测方法。
[0038]结合上述的所有技术方案，本专利技术所具备的优点及积极效果为：
[0039]本专利技术提出了一种Scanner网络扫描攻击行为的检测策略，通过对流量Payload和行为的检测分析，实现了对Scanner扫描流量的准确识别，扫描识别准确率在实验流量下可达到100％，实现了对该工具从无到有的防御，补齐了目前网络扫描防范领域中对于该工具专有识别的缺失。本专利技术通过对Scanner扫描流量的行为和字段进行了深度匹配，即使在复杂本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Scanner网络扫描攻击行为检测方法，其特征在于，所述Scanner网络扫描攻击行为检测方法包括：对所捕获的流量数据包中的特征提取并进行规则匹配，以检测和获取Scanner网络扫描行为的流量并生成告警信息。2.如权利要求1所述的Scanner网络扫描攻击行为检测方法，其特征在于，所述Scanner网络扫描行为的流量包括：对Windows主机信息扫描、主机协议服务扫描、SNMP协议扫描中9项扫描命令；包括winn,win_scan,ftp,mail,t_mysql,ssh,snmp1,snmp2,snmp3。3.如权利要求1所述的Scanner网络扫描攻击行为检测方法，其特征在于，所述Scanner网络扫描攻击行为检测方法具体包括：步骤一，通过对网卡流量的监督控制实现流量数据包的捕获；步骤二，对流量特征进行提取；步骤三，对已经提取的特征信息进行匹配，匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分；步骤四，分析匹配结果，判断是否存在攻击行为；步骤五，若确认发生攻击行为，则产生报警日志并进行报警。4.如权利要求3所述的Scanner网络扫描攻击行为检测方法，其特征在于，所述步骤二对流量特征进行提取包括：通过端口与ip信息完成数据包的分类并产生event，最后将各个event中的数据流量进行解析、得到源端口、目的端口、协议类型、协议头、Payload具体信息。5.如权利要求3所述的Scanner网络扫描攻击行为检测方法，其特征在于，所述步骤三对已经提取的特征信息进行匹配包括针对Payload特征信息进行比对，具体为：第i个特征在流量Payload中的存在情况为x
i
，其权重为a
i
，并设端口匹配情况为T，其中T、x
i
取值范围为{0,1}，a
i

【专利技术属性】
技术研发人员：张成伟，廖思，娄峥，郭英才，钟国辉，高雅玙，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：