【技术实现步骤摘要】
一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法
[0001]本专利技术涉及一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法,属于网络安全
技术介绍
[0002]端口扫描是指攻击者向目标主机发送一组探测消息并等待回复,通过观察收到的响应获取目标主机的端口状态,进而了解其提供的网络服务类型。尽管端口扫描攻击不会直接对受害者造成实质性的伤害,但它们会暴露目标主机可以被攻击的入口点。因此,端口扫描检测对于防止攻击者对网络系统造成进一步破坏具有至关重要的意义。
[0003]然而,一些恶意的攻击者为了避免被发现,会执行慢速端口扫描。在慢速扫描攻击中,扫描探测包之间的时间间隔较长(10秒以上),其表现出的流量特征不够明显,并且与大量正常流量交错,所以很难被现有的入侵检测系统发现。可见,检测慢速端口扫描是一项重要且具有挑战性的任务。
[0004]目前,研究者们已经提出了一系列检测端口扫描的方法,其中基于阈值和基于机器学习的方法被广泛应用。但是这些方法仍存在一些问题,效果并不是很理想。
[000...
【技术保护点】
【技术特征摘要】
1.一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法,其特征在于,该方法包括以下步骤:步骤(1)获取一段在主干网节点持续采集一段时间的高速网络流量数据,其中含有部分端口扫描流量;步骤(2)设置抽样比为1/μ,对获取的公开数据集进行系统抽样;步骤(3)使用扫描检测sketch对抽样后的TCP和UDP流量进行特征提取;步骤(4)采用K
‑
means算法对流量特征进行聚类,并基于规则对已知扫描流所在簇中的流量进行验证并标注,进而得到具有完整标签的训练集;步骤(5)使用有监督机器学习算法对步骤(4)得到的训练集进行模型训练,得到分类模型;步骤(6)使用另外两段公开数据集数据作为测试集,分别对模型检测快速端口扫描和慢速端口扫描的性能进行测试。2.根据权利要求1所述的一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法,其特征在于,所述步骤(1)中,获取公开数据集流量的方法如下:(1.1)访问公开数据集官网,获取在主干网节点上持续采集一段时间的高速网络流量;(1.2)公开数据集官方文档中仅提供了部分端口扫描流量的信息,步骤(4)中采用聚类算法找出公开数据集中所有的端口扫描流量并标注,以将其作为用于模型训练的数据。3.根据权利要求1所述的一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法,其特征在于,所述步骤(2)中,系统抽样具体过程如下:设置抽样比为1/μ,随机选取一个起点抽取数据包,后续每隔μ个包抽取一个数据包,得到抽样后的流量。4.根据权利要求1所述的一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法,其特征在于,所述步骤(3)中,所使用的扫描检测sketch详细信息以及提取特征的具体步骤如下:(3.1)基于TCP端口扫描的特点,所选择的TCP流量特征为:IP地址发送和接收的数据包数目之比、IP地址发送和接收的带有SYN标志的数据包数目之比、TCP数据包的目的IP分散度以及TCP数据包的目的端口分散度;基于UDP端口扫描的特点,所选择的UDP流量特征为:IP地址发送和接收的数据包数目之比、UDP数据包的目的IP分散度以及UDP数据包的目的端口分散度;(3.2)根据所选择的特征,设计了扫描检测sketch用于特征提取,扫描检测sketch是在Count
‑
Min sketch的基础上改进而来的,它由d...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。