【技术实现步骤摘要】
端口扫描检测
[0001]本申请是申请日为2019年12月8日,申请号为201980090243.X,专利技术名称为“端口扫描检测”的申请的分案申请。
专利
[0002]本专利技术一般涉及计算机安全,并且特别涉及检测端口扫描攻击。
[0003]专利技术背景
[0004]在计算机联网中,通信端口是网络上的逻辑通信端点,从软件的角度来看,其视为等同于在网络中给定计算机上执行的特定资源(例如,进程或服务类型)。通信端口(本文也简称为端口或端口号)通常由通信协议定义。例如,端口是开放系统互连(OSI)模型中的第4层(即传输层)协议中的一个,并且用于定义客户端
‑
服务器应用架构中的网络会话。
[0005]端口为一个网络地址处的多个服务或多个通信会话提供多路复用服务。在操作中,端口是用于识别通过网络传输的消息的来源和目的地的寻址信息的一部分。此外,每个“开放”端口通常与特定服务相关联,诸如具有连接到它们的服务,诸如数据库服务、电子邮件服务或通信服务。
[0006]网络端口扫描是一种用于确定网络上哪些端口是开放的方法。在网络或服务器上运行端口扫描会揭示哪些端口是开放的并被配置为接收和/或发送信息。网络专业人员可以使用端口扫描工具来衡量他们对攻击者的暴露程度并监视设备和服务。另一方面,黑客会扫描端口以探测网络中可利用的开放端口,并测定在每个设备上运行哪些服务。例如,黑客可以向多个端口发送消息,并分析来自每个给定端口的响应以便确定该端口是否正在被使用,并且如果是,则确定什么服务正在使用给定端口。 ...
【技术保护点】
【技术特征摘要】
1.一种方法,其包括:在通过网络进行通信的多个节点之间传输的数据业务中识别一组端口扫描,所述端口扫描中的每个端口扫描包括在预定义时间段期间由给定源节点在所述数据业务中对给定目的地节点上的多个通信端口的访问;在所述数据业务中识别大业务量端口的群组,所述大业务量端口包括接收超过预定义阈值的相应容量的数据业务的通信端口中的一个或更多个通信端口;对于已识别的端口扫描,生成指示在所述端口扫描中的每个端口扫描中被访问的除大业务量端口之外的通信端口的相应签名;计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率;聚集所述相应出现频率大于预定义阈值的签名的白名单;以及在检测到相应签名不在所述白名单上的端口扫描时,启动预防动作。2.根据权利要求1所述的方法,其中,识别所述端口扫描包括:在所述数据业务中识别一组所述源节点和所述目的地节点对,每对由给定源节点和给定目的地节点以及在每对中的所述源节点和目的地节点之间的数据业务中被访问的通信端口中的一个或更多个通信端口组成,对于所述组中的每对,计算相应的基线水平,所述基线水平指示在第一时间段期间除了该对中的所述给定源节点之外的源节点在所述给定目的地节点上访问的通信端口的第一数量,对于所述组中的每对,计算相应的测试得分,所述测试得分指示在第二时间段期间该对中的所述给定源节点在所述给定目的地节点上访问的通信端口的第二数量与所述基线水平之间的差,以及将所述对中的所述测试得分大于指定水平的任意对指定为所述端口扫描。3.根据权利要求1所述的方法,其中,所述指定时间段包括多个子时段,所述多个子时段包括一组第一子时段和在所述第一子时段之后的第二子时段,其中,计算所述第一概率和所述第二概率的步骤在所述第一子时段中的端口扫描上执行,并且其中,检测所述节点中的一个节点上的端口扫描在所述第二子时段中执行。4.根据权利要求3所述的方法,其中,所述子时段中的每个子时段具有基本上相同的持续时间。5.根据权利要求1所述的方法,其中,计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率包括对于每个给定唯一签名,确定与所述给定唯一签名匹配的扫描计数,并且其中,所述白名单包括其匹配扫描的相应计数大于指定数量的唯一签名。6.根据权利要求1所述的方法,其中,计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率包括对于每个给定唯一签名,确定与所述给定唯一签名匹配的扫描中的唯一源节点的计数,并且其中,所述白名单包括以下条件中的一个或更多个条件被发现适用于的唯一签名:所述唯一源节点的计数大于第一值,以及所述唯一源节点的计数小于第二值。7.根据权利要求1所述的方法,其中,计算所述签名中的每个签名在所述一组端口扫描上的相应出现频率包括对于每个给定唯一签名,确定与所述给定唯一签名匹配的扫描中的
唯一目的地节点的计数,并且其中,所述白名单包括以下条件中的一个或更多个条件被发现适用于的唯一签名:所述唯一目的地节点的计数大于第一值,以及所述唯一目的地节点的计数小于第二值。8.根据权利要求1所述的方法,其中,所述大业务量端口与给定目的地节点相关联。9.根据权利要求1至8中任一项所述的方法,其中,启动所述预防动作包括针对检测到的端口扫描中的所述给定源节点生成警报。10.根据权利要求1至8中任一项所述的方法,其中,启动所述预防动作包括限制检测到的端口扫描中的所述给定源节点对所述网络的访问。11.一种装置,其包括:耦合到数据网络的网络接口设备,所述网络包括经由所述网络进行通信的多个节点;以及至少一个处理器,其被配置为:在通过网络进行通信的多个节点之间传输的数据业务中识别一组端口扫描,所述端口扫描中的每个端口扫描包括在预定义时间段期间由给定源节点在所述数据业务中对给定目的地节点上的多个通信端口的访问;在所述数据业务中识别大业务量端口的群组,所述大业务量端口包括接收超过预定义阈值的相应容量的数据业务的通信端口中的一个或更多个通信端口;对于已识别的端口扫描,生成指示在所述端口扫描中的每个端口扫描中被访问的除...
【专利技术属性】
技术研发人员:艾丹,
申请(专利权)人:帕洛阿尔托网络以色列分析有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。