一种基于流量数据的端口扫描识别方法、系统及装置制造方法及图纸

本发明专利技术提出的一种基于流量数据的端口扫描识别方法、系统及装置，属于计算机技术领域。所述方法包括：将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；判断任一源ip地址的访问数据是否小于预设阈值；并统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法、比值计算法、频率计算法计算输入信息并进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。本发明专利技术能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。将恶意攻击带来的不利后果降至最低。将恶意攻击带来的不利后果降至最低。

【技术实现步骤摘要】
一种基于流量数据的端口扫描识别方法、系统及装置


[0001]本专利技术涉及计算机
，更具体的说是涉及一种基于流量数据的端口扫描识别方法、系统及装置。

技术介绍

[0002]计算机的快速发展在带来便利的同时，也为企业的发展带来了很多不容忽视的安全问题。一方面，由于疏忽或者管理不当导致的数据泄露问题可能导致企业发展就此中断；另一方面，很多黑客对企业的内部数据虎视眈眈，意图通过不正当的手段获取企业的内部信息，这也会对企业的发展造成重创。管理不当或者个人疏忽可以通过制定严格的行为规章避免，然而黑客的攻击行为却防不胜防。为了防范黑客的攻击行为，入侵检测显得尤为重要，其中，端口扫描行为的有效检测在入侵检测中占有重要的地位。攻击者在入侵之前往往会使用一种或者多种端口扫描方法对目标主机系统进行探测，以发现目标系统的漏洞，并利用这些漏洞对目标主机进行攻击。因此，有效的端口扫描行为检测可以将部分入侵行为扼杀在萌芽之中，达到防患于未然的效果。
[0003]传统的端口扫描行为检测办法包括Snort检测方法、比值计算法和频率计算法。但是，Snort检测方法虽然简单易行，但是阈值的设定却会对方法的误报率和漏报率产生较大的影响，而大规模的扫描行为均会导致比值计算法与频率计算法均难以有效检测端口扫描行为。可见，现有的端口扫描行为检测办法仅对于快速扫描、单一的水平或垂直扫描有较好的检测效果。

技术实现思路

[0004]针对现有技术中存在的问题，本专利技术的目的在于提供一种基于流量数据的端口扫描识别方法、系统及装置，能够更准确的发现执行扫描操作的主机，将恶意攻击带来的不利后果降至最低。
[0005]本专利技术为实现上述目的，通过以下技术方案实现：
[0006]一种基于流量数据的端口扫描识别方法，包括：
[0007]获取服务器到客户端的数据包，并在其中筛选出具有扫描行为的流量数据；
[0008]将具有扫描行为的流量数据以每十分钟划分一个时间窗口；
[0009]在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；
[0010]根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值；若是，则认定此源ip地址不具有扫描行为，筛去相应的流量数据；否则统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；
[0011]分别通过Snort检测方法计算输入信息得出第一参考分数、通过比值计算法计算输入信息得出第二参考分数、通过频率计算法计算输入信息得出第三参考分数；将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数；
[0012]判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端
口扫描行为。
[0013]进一步，所述具有扫描行为的流量数据具体为：数据包的数量小于3个流量数据。
[0014]进一步，所述源ip地址的访问信息和相应的目的ip地址的访问信息，包括：源ip地址访问的数目TCO，访问的目的ip数CIP，访问的目的端口数CPT；每一个目的ip地址的被访问次数TIPi；每一个目的端口的被访问次数TPTi；其中，具体的数据关系如下：
[0015][0016][0017]进一步，所述通过Snort检测方法计算输入信息得出第一参考分数，具体包括：
[0018]将Snort检测方法的阈值设置为100；
[0019]通过Snort检测方法的计算公式得出第一参考分数X1；
[0020]其中，Snort检测方法的计算公式具体如下：
[0021][0022]进一步，所述通过比值计算法计算输入信息得出第二参考分数，包括：
[0023]将比值计算法的阈值设为50；
[0024]通过比值计算法的计算公式得出第二参考分数X2；
[0025]比值计算法的计算公式具体如下：
[0026][0027]其中，Fi＝max(CIP/CPT,CPT/CIP)。
[0028]进一步，所述通过频率计算法计算输入信息得出第三参考分数，包括：通过下式计算每一个目的ip地址的被访问频率FIPi：
[0029][0030]其中，i＝1,2,3
……
TCO；
[0031]通过下式计算每一个目的端口被访问的频率FPTi：
[0032][0033]其中，i＝1,2,3
……
TCO；
[0034]通过以下公式计算出第一参考量G1和第二参考量G2，以得出第三参考分数X3：
[0035][0036][0037]X3＝max(G1，G2)。
[0038]进一步，所述将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数，包括：
[0039]通过以下公式计算得出源ip地址的最终检测分数X：
[0040]X＝0.5
×
max(X1，X2，X3)+0.3
×
media(X1，X2，X3)+0.2
×
min(X1，X2，X3)
[0041]进一步，所述判定值为0.6。
[0042]相应的，本专利技术还公开了一种基于流量数据的端口扫描识别系统，包括：数据获取单元，用于获取服务器到客户端的数据包，并在其中筛选出具有扫描行为的流量数据；
[0043]划分单元，用于将具有扫描行为的流量数据以每十分钟划分一个时间窗口；数据聚合单元，用于在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；
[0044]第一判定单元，用于根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值；若是，则认定此源ip地址不具有扫描行为，筛去相应的流量数据；否则统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；
[0045]计算单元，用于分别通过Snort检测方法计算输入信息得出第一参考分数、通过比值计算法计算输入信息得出第二参考分数、通过频率计算法计算输入信息得出第三参考分数；
[0046]集成运算单元，用于将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数；
[0047]第二判定单元，用于判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。
[0048]相应的，本专利技术还公开了一种基于流量数据的端口扫描识别装置，包括：存储器，用于存储计算机程序；
[0049]处理器，用于执行所述计算机程序时实现如上文任一项所述基于流量数据的端口扫描识别方法步骤。
[0050]对比现有技术，本专利技术有益效果在于：
[0051]1、本专利技术将多种端口检测的方法集成，避免单一的端口检测算法覆盖不全面的问题。
[0052]2、本专利技术将三种检测方法在进行互补，避免在检测过程中某一方面不足导致的高误报、高漏报的问题。
[0053]3、本专利技术整体思路清晰易懂，对每种方法给出了较为通用和本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量数据的端口扫描识别方法，其特征在于，包括：获取服务器到客户端的数据包，并在其中筛选出具有扫描行为的流量数据；将具有扫描行为的流量数据以每十分钟划分一个时间窗口；在同一时间窗口内，聚合同一源ip地址下目的ip与目的端口相同的数据；根据聚合结果判断任一源ip地址的访问数据是否小于预设阈值；若是，则认定此源ip地址不具有扫描行为，筛去相应的流量数据；否则统计此源ip地址的访问信息和相应的目的ip地址的访问信息，作为输入信息；分别通过Snort检测方法计算输入信息得出第一参考分数、通过比值计算法计算输入信息得出第二参考分数、通过频率计算法计算输入信息得出第三参考分数；将第一参考分数、第二参考分数和第三参考分数进行集成，得到源ip地址的最终检测分数；判断源ip地址的最终检测分数是否大于判定值；若是，则认定此源ip地址存在端口扫描行为。2.根据权利要求1所述的基于流量数据的端口扫描识别方法，其特征在于，所述具有扫描行为的流量数据具体为：数据包的数量小于3个流量数据。3.根据权利要求1所述的基于流量数据的端口扫描识别方法，其特征在于，所述源ip地址的访问信息和相应的目的ip地址的访问信息，包括：源ip地址访问的数目TCO，访问的目的ip数CIP，访问的目的端口数CPT；每一个目的ip地址的被访问次数TIPi；每一个目的端口的被访问次数TPTi；其中，具体的数据关系如下：其中，具体的数据关系如下：4.根据权利要求3所述的基于流量数据的端口扫描识别方法，其特征在于，所述通过Snort检测方法计算输入信息得出第一参考分数，具体包括：将Snort检测方法的阈值设置为100；通过Snort检测方法的计算公式得出第一参考分数X1；其中，Snort检测方法的计算公式具体如下：5.根据权利要求4所述的基于流量数据的端口扫描识别方法，其特征在于，所述通过比值计算法计算输入信息得出第二参考分数，包括：将比值计算法的阈值设为50；通过比值计算法的计算公式得出第二参考分数X2；比值计算法的计算公式具体如下：
其中，Fi＝max(CIP/CPT,CPT/CIP)。6.根据权利要求5所述的基于流量数据的端口扫描识别方法，其特征在于，所述通过频率计算法计算输入信息得出第三参考分数，包括：通过下式计算每一个目的ip地址的被...

【专利技术属性】
技术研发人员：刘洋洋，路冰，孟维英，孙宁，邹斯达，
申请(专利权)人：中孚信息股份有限公司，
类型：发明
国别省市：