【技术实现步骤摘要】
一种物联网设备的端口扫描路径推荐方法
[0001]本专利技术涉及一种物联网设备的端口扫描路径推荐方法。
技术介绍
[0002]随着互联网技术的不断发展,物联网设备接入到互联网的门槛越来越低,并且由于物联网设备带来的便利性,越来越多用户将家用设备接入到互联网,由于物联网设备数量众多,所有需要对物联网设备进行网络安全检测,端口扫描技术是网络空间安全的基础技术,如Lyon等研究员提出了Nmap扫描工具,Nmap作为一款开源并一直更新迭代的网络设备扫描工具,不仅支持探测存活主机以及开放端口,同时支持针对设备操作系统、端口开放服务等相关信息的识别以及漏洞检测。Zakir等研究员为了更快的收集全网设备数据设计了Zmap扫描器,Zmap支持TCP SYN、UDP、ICMPecho等多种端口扫描方式,旨在对IPV4地址空间进行全面扫描。Zakir等人提出的半连接的扫描方案,以及通过地址分片算法使地址随机化使得Zmap可以在5分钟内完成对IPV4所有公开网段的完整扫描。
[0003]物联网设备是一种体积小、算力小的设备,目前已有的技术...
【技术保护点】
【技术特征摘要】
1.一种物联网设备的端口扫描路径推荐方法,其特征在于,使用基于随机森林的物联网设备识别方法识别网络空间中的物联网设备,确定是物联网设备之后,使用基于协同过滤的端口扫描路径推荐算法,匹配数据库中最相似的设备,使其为待扫描设备提供扫描路径,同时每一次探测都更新路径。2.根据权利要求1所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,所述基于随机森林的物联网设备识别方法实现如下:S11、确定目标设备,向目标设备使用分布式TCP SYN扫描,如果返回SYN+ACK数据包,代表此端口开放,如果返回RST数据包,代表此端口关闭,如果1s内未收到返回,则认为此端口被防火墙过滤,直到确定至少一个开放端口和一个关闭端口;S12、使用Nmap的操作系统识别模块向开放端口和关闭端口共发送16个探测包,等待响应;S13、保存响应数据包的字段值,若字段值为字符串,则使用哈希散列变换成数值型,并使用Nmap的操作系统识别模块识别的包括GCD、ISR、SP、TI、CI、II、SS、TS的特征构建特征空间,若此设备是物联网设备,则标记为1,否则为0;S14、收集多个设备的数据,形成数据集;S15、利用随机森林算法,构建二分随机森林模型,即利用Gini指数实现特征选择:S16、选择前100个Gini指数最低的特征,使用这些特征重新训练二分随机森林模型,实现网络空间中的物联网设备的识别。3.根据权利要求1所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,所述基于协同过滤的端口扫描路径推荐算法实现方式为:首先向目标主机的目标端口发送4个探测包,根据响应信息收集标语信息和构建特征空间,利用基于用户的协同过滤去数据库中匹配最合适的IP,选择这个IP推荐的端口作为下一个扫描端口。4.根据权利要求1或3所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,所述基于协同过滤的端口扫描路径推荐算法的具体实现过程如下:S21、构建特征空间向目标主机的目标端口发送4个探测包,分别是SYN扫描包、FIN扫描包、ACK扫描包和Xmas
‑
Tree扫描包,收集这4个数据包的响应信息,提取每个响应数据包的字段,构建如下特征空间:SYN(SYN+ACK,RST,NULL)对于SYN扫描,目标主机会有三种情况,第一种返回SYN+ACK代表端口开放,则SYN+ACK为1其他全为0,第二种返回RST代表端口关闭,则RST为1其他全为0,还有一种是1s内不返回响应数据包,则NULL为1其他全为0;FIN(NULL,RST,TYPE,CODE)对于FIN扫描,与SYN扫描相似,但是对于不返回响应信息时,目标主机会返回一个ICMP数据包,TYPE为ICMP的类型字段,CODE为代码字段,这两个字段存储的是值,不再是0或1;ACK(NULL,RST,TTL,WINDOW,TYPE,CODE)
ACK扫描,与SYN扫描和FIN扫描相似,但是增加WINDOW字段,ACK扫描会根据WINDOW字段的值判断目标端口的开放情况;Xmas
‑
Tree(NULL,RST,TYPE,CODE)Xmas
‑
Tree扫描,与FIN扫描相似;将4种扫描构建的特征空间合并成一个特征空间<open,SYN,FIN,ACK,Xmas
‑
Tree>,同时将这个特征空间进行整合,将整合后的数据命名为F
f
,接着收集响应包中的标语信息,存储格式为[<port1:banner>,<port2:banner>,....],将其命名为F
b
,使用命名实体识别NER从标语信息中提取厂商、品牌和型号即<manu,bra,mod>;同时引入地址addr和信誉因子rep,最终全部数据在数据库中存储格式如下:[index,1F
f
,2F
f
,...,65535F
f
,F
b
,manu,bra,mod,addr,rep]其中的1,2,....,65535表示端口号;S22、相似度计算将需要探测的IP命名为X,在数据库中需要与其匹配的IP命名为Y;第一步,计算两个IP在已知开放端口数量上的相似度,其中选取X已经探测的端口,而数据库中的Y则选取与X相同的端口,公式如下:其中P表示的是端口的集合,分式的上部分计算的是X与Y共同开放的端口数量,分式下部分是统计已知的X的探测过的全部端口数量;第二步,计算两个IP在字段特征空间F
f
上的相似度,公式如下:上的相似度,公式如下:上的相似度,公式如下:其中,K表示X探测过的全部端口,是指示函数,表示,如果这个端口X和Y都开放了,那么这个值为1,如果全部关闭了,那么这个值为0.1,如果一个开放一个关闭,那么为0,计算的是两个字段特征空间的余弦相似度,它反应两个特征空间的相似程度,取值在[0,1]之间,将全部端口计算余弦相似...
【专利技术属性】
技术研发人员:傅仕琛,张坤三,黄柳苹,卓俊彦,傅昱,胡志杰,赖宝鹏,傅炜婷,何智杰,陈铮,姚历毅,李晓勇,方世烟,
申请(专利权)人:国网福建省电力有限公司漳州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。