端口扫描检测制造技术

本申请涉及端口扫描检测。一种方法包括在网络数据业务中识别一组源节点和目的地节点(26)对，每对具有给定源节点、给定目的地节点以及在每对中的节点之间的业务中访问的一个或更多个端口(40)，并对于每对计算相应的基线，该基线指示在第一时段期间除了该对中的给定源节点之外的源节点在给定目的地节点上访问的端口的第一数量。对于每对，计算相应的测试得分，该测试得分指示在第二时段期间该对中的给定源节点在给定目的地节点上访问的端口的第二数量与基线之间的差，并且对于这些对中的任意对中的测试得分大于阈值的给定源节点启动预防动作。启动预防动作。启动预防动作。

【技术实现步骤摘要】
端口扫描检测
[0001]本申请是申请日为2019年12月8日，申请号为201980090243.X，专利技术名称为“端口扫描检测”的申请的分案申请。
专利

[0002]本专利技术一般涉及计算机安全，并且特别涉及检测端口扫描攻击。
[0003]专利技术背景
[0004]在计算机联网中，通信端口是网络上的逻辑通信端点，从软件的角度来看，其视为等同于在网络中给定计算机上执行的特定资源(例如，进程或服务类型)。通信端口(本文也简称为端口或端口号)通常由通信协议定义。例如，端口是开放系统互连(OSI)模型中的第4层(即传输层)协议中的一个，并且用于定义客户端
‑
服务器应用架构中的网络会话。
[0005]端口为一个网络地址处的多个服务或多个通信会话提供多路复用服务。在操作中，端口是用于识别通过网络传输的消息的来源和目的地的寻址信息的一部分。此外，每个“开放”端口通常与特定服务相关联，诸如具有连接到它们的服务，诸如数据库服务、电子邮件服务或通信服务。
[0006]网络端口扫描是一种用于确定网络上哪些端口是开放的方法。在网络或服务器上运行端口扫描会揭示哪些端口是开放的并被配置为接收和/或发送信息。网络专业人员可以使用端口扫描工具来衡量他们对攻击者的暴露程度并监视设备和服务。另一方面，黑客会扫描端口以探测网络中可利用的开放端口，并测定在每个设备上运行哪些服务。例如，黑客可以向多个端口发送消息，并分析来自每个给定端口的响应以便确定该端口是否正在被使用，并且如果是，则确定什么服务正在使用给定端口。
[0007]以引用方式并入本专利申请中的文件应被视为本申请的组成部分，除非在这些并入文件中以与本说明书中明确地或隐含地做出的定义相冲突的方式定义的任何术语的范围内，仅应考虑本说明书中的定义。
[0008]以上描述是作为该领域中相关技术的一般概述而呈现的，并且不应被解释为承认其包含的信息中的任何信息构成针对本专利申请的现有技术。
[0009]专利技术概述
[0010]根据本专利技术的实施例，提供了一种方法，其包括：在通过网络进行通信的多个节点之间传输的数据业务中识别一组源节点和目的地节点对，每对由给定源节点和给定目的地节点以及在每对中的源节点和目的地节点之间的数据业务中被访问的一个或更多个通信端口组成；对于该组中的每对，计算相应的基线水平，该基线水平指示在第一时间段期间除了该对中的给定源节点之外的源节点在给定目的地节点上访问的通信端口的第一数量；对于该组中的每对，计算相应的测试得分，该测试得分指示在第二时间段期间该对中的给定源节点在给定目的地节点上访问的通信端口的第二数量与基线水平之间的差；以及对于在任意对中的测试得分大于指定水平的给定源节点启动预防动作。
[0011]在一些实施例中，识别源节点和目的地节点对包括从探针(probe)收集通过网络传输的数据分组，将收集的数据分组聚合成给定源节点和给定目的地节点之间的通信会
话，并且在每个聚合通信会话中识别访问给定目的地节点上的至少一个给定通信端口的给定源节点。在附加实施例中，该方法还包括识别一个或更多个有噪声的扫描器(noisy scanner)，该有噪声的扫描器中的每个有噪声的扫描器包括访问至少第二指定数量的目的地节点上的至少指定的第一数量的目的地端口的给定源节点。在一个实施例中，计算给定对的基线水平包括计算在第一时间段期间，除了该对中的给定源节点之外并且除了已识别的有噪声的扫描器中的任何有噪声的扫描器之外的源节点在给定目的地节点上访问的协议端口的修正的第一数量；
[0012]在进一步的实施例中，指定水平包括第一指定水平，启动预防动作包括启动第一预防动作，并且该方法还包括识别在第二时间段期间端口扫描中的任何失败连接，并对于在任意对中的、具有已识别的失败连接中的至少一个失败连接、并且测试得分大于比第一指定水平更低的第二指定水平的给定源节点，启动第二预防动作。
[0013]在一个实施例中，第二时间段在第一时间段之后。在另一个实施例中，第一时间段和第二时间段具有基本上相同的持续时间。在补充实施例中，第一时间段包括多个子时段，并且计算给定对的测试得分包括计算子时段中的每个子时段的单独基线水平，计算单独基线水平的平均值，并从通信端口的第二数量中减去计算的平均值。在一些实施例中，第二时间段和子时段中的每个子时段具有基本上相同的持续时间。
[0014]在附加实施例中，启动预防动作包括针对给定源节点生成警报。在进一步的实施例中，启动预防动作包括限制给定源节点对网络的访问。
[0015]根据本专利技术的实施例，另外提供了一种装置，其包括网络接口设备和至少一个处理器，该网络接口设备耦合到数据网络，该数据网络包括经由网络进行通信的多个节点，该至少一个处理器被配置为：在通过网络在多个节点之间传输的数据业务中识别一组源节点和目的地节点对，每对由给定源节点和给定目的地节点以及在每对中的源节点和目的地节点之间的数据业务中被访问的一个或更多个通信端口组成；对于该组中的每对，计算相应的基线水平，该基线水平指示在第一时间段期间除了该对中的给定源节点之外的源节点在给定目的地节点上访问的通信端口的第一数量；对于该组中的每对，计算相应的测试得分，该测试得分指示在第二时间段期间该对中的给定源节点在给定目的地节点上访问的通信端口的第二数量与基线水平之间的差；以及对于在任意对中的测试得分大于指定水平的给定源节点，启动预防动作。
[0016]在一些实施例中，给定处理器被配置为通过以下方式识别所述源节点和目的地节点对：从探针收集通过所述网络传输的数据分组，将所收集的数据分组聚合成给定源节点和给定目的地节点之间的通信会话，并且在每个聚合通信会话中识别访问所述给定目的地节点上的至少一个给定通信端口的给定源节点。
[0017]在一些实施例中，给定处理器进一步被配置为识别一个或更多个有噪声的扫描器，所述有噪声的扫描器中的每个有噪声的扫描器包括访问至少第二指定数量的目的地节点上的至少指定的第一数量的目的地端口的给定源节点。
[0018]在一些实施例中，给定处理器被配置为通过以下方式计算给定对的所述基线水平：计算在所述第一时间段期间，除了该对中的所述给定源节点之外并且除了已识别的有噪声的扫描器中的任何有噪声的扫描器之外的源节点在所述给定目的地节点上访问的通信端口的修正的第一数量。
[0019]在一些实施例中，所述指定水平包括第一指定水平，其中，给定处理器被配置为通过以下方式启动所述预防动作：启动第一预防动作，并且包括：识别在所述第二时间段期间端口扫描中的任何失败连接，并对于所述对中的任意对中的、具有已识别的失败连接中的至少一个失败连接、并且所述测试得分大于比所述第一指定水平低的第二指定水平的给定源节点，启动第二预防动作。
[0020]在一些实施例中，所述第二时间段在所述第一时间段之后。
[0021]在一些实施例中，所述第一时间段和所述第二时间段具有基本上相同的持续时间。
[0022]在一些实施例中，所述第一时间段包括多个子时段，并且其中，给本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，其包括：在通过网络进行通信的多个节点之间传输的数据业务中识别一组端口扫描，所述端口扫描中的每个端口扫描包括在预定义时间段期间由给定源节点在所述数据业务中对给定目的地节点上的多个通信端口的访问；在所述数据业务中识别大业务量端口的群组，所述大业务量端口包括接收超过预定义阈值的相应容量的数据业务的通信端口中的一个或更多个通信端口；对于已识别的端口扫描，生成指示在所述端口扫描中的每个端口扫描中被访问的除大业务量端口之外的通信端口的相应签名；计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率；聚集所述相应出现频率大于预定义阈值的签名的白名单；以及在检测到相应签名不在所述白名单上的端口扫描时，启动预防动作。2.根据权利要求1所述的方法，其中，识别所述端口扫描包括：在所述数据业务中识别一组所述源节点和所述目的地节点对，每对由给定源节点和给定目的地节点以及在每对中的所述源节点和目的地节点之间的数据业务中被访问的通信端口中的一个或更多个通信端口组成，对于所述组中的每对，计算相应的基线水平，所述基线水平指示在第一时间段期间除了该对中的所述给定源节点之外的源节点在所述给定目的地节点上访问的通信端口的第一数量，对于所述组中的每对，计算相应的测试得分，所述测试得分指示在第二时间段期间该对中的所述给定源节点在所述给定目的地节点上访问的通信端口的第二数量与所述基线水平之间的差，以及将所述对中的所述测试得分大于指定水平的任意对指定为所述端口扫描。3.根据权利要求1所述的方法，其中，所述指定时间段包括多个子时段，所述多个子时段包括一组第一子时段和在所述第一子时段之后的第二子时段，其中，计算所述第一概率和所述第二概率的步骤在所述第一子时段中的端口扫描上执行，并且其中，检测所述节点中的一个节点上的端口扫描在所述第二子时段中执行。4.根据权利要求3所述的方法，其中，所述子时段中的每个子时段具有基本上相同的持续时间。5.根据权利要求1所述的方法，其中，计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率包括对于每个给定唯一签名，确定与所述给定唯一签名匹配的扫描计数，并且其中，所述白名单包括其匹配扫描的相应计数大于指定数量的唯一签名。6.根据权利要求1所述的方法，其中，计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率包括对于每个给定唯一签名，确定与所述给定唯一签名匹配的扫描中的唯一源节点的计数，并且其中，所述白名单包括以下条件中的一个或更多个条件被发现适用于的唯一签名：所述唯一源节点的计数大于第一值，以及所述唯一源节点的计数小于第二值。7.根据权利要求1所述的方法，其中，计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率包括对于每个给定唯一签名，确定与所述给定唯一签名匹配的扫描中的
唯一目的地节点的计数，并且其中，所述白名单包括以下条件中的一个或更多个条件被发现适用于的唯一签名：所述唯一目的地节点的计数大于第一值，以及所述唯一目的地节点的计数小于第二值。8.根据权利要求1所述的方法，其中，所述大业务量端口与给定目的地节点相关联。9.根据权利要求1至8中任一项所述的方法，其中，启动所述预防动作包括针对检测到的端口扫描中的所述给定源节点生成警报。10.根据权利要求1至8中任一项所述的方法，其中，启动所述预防动作包括限制检测到的端口扫描中的所述给定源节点对所述网络的访问。11.一种装置，其包括：耦合到数据网络的网络接口设备，所述网络包括经由所述网络进行通信的多个节点；以及至少一个处理器，其被配置为：在通过网络进行通信的多个节点之间传输的数据业务中识别一组端口扫描，所述端口扫描中的每个端口扫描包括在预定义时间段期间由给定源节点在所述数据业务中对给定目的地节点上的多个通信端口的访问；在所述数据业务中识别大业务量端口的群组，所述大业务量端口包括接收超过预定义阈值的相应容量的数据业务的通信端口中的一个或更多个通信端口；对于已识别的端口扫描，生成指示在所述端口扫描中的每个端口扫描中被访问的除...

【专利技术属性】
技术研发人员：艾丹，
申请(专利权)人：帕洛阿尔托网络以色列分析有限公司，
类型：发明
国别省市：