【技术实现步骤摘要】
本专利技术涉及网络安全,更具体的说是涉及一种混合端口扫描行为检测方法、系统、装置及存储介质。
技术介绍
1、为了防止攻击者利用网络端口(计算机与外界传输数据的通道)入侵系统,往往需要端口扫描检测计算机存在的端口漏洞。端口扫描主要目的是尝试与目标主机建立链接,若目标主机回复相应响应信息说明端口开放或关闭,分为水平扫描、垂直扫描、混合扫描。现有的端口扫描方法多使用snort与portsentry。
2、snort能够在一个时间窗t秒内检测到从相同源ip发往不同目的地的包数目,如果该数目超过既定数目判断为扫描行为。portsentry能够检测最近多次连接中相同源ip发出的连接数目,如果该数目超过既定数目,则判断为扫描行为。
3、但是,上述方法仅针对垂直扫描(即攻击者对特定目的主机的多个端口通信),无法挖掘混合扫描(多个不同目的主机的多个端口进行扫描)和水平扫描行为(即攻击者与同一子网内的多个ip地址同一个端口通信),除此之外也无法适用于慢扫描和周期性扫描行为。
4、而且,上述方法中,既定数目的设置需要结合数...
【技术保护点】
1.一种混合端口扫描行为检测方法,其特征在于,包括:
2.根据权利要求1所述的混合端口扫描行为检测方法,其特征在于,所述获取端口流量数据,对获取的流量数据进行数据清洗,包括:
3.根据权利要求1所述的混合端口扫描行为检测方法,其特征在于,所述获取时间窗口T内的所有流量数据,分别将源IP相同的流量数据、源IP与目的IP相同的流量数据、以及源IP与目的端口号相同的流量数据进行聚合,并提取出相应的特征指标,包括:
4.根据权利要求1所述的混合端口扫描行为检测方法,其特征在于,所述根据提取的特征指标确定每种特征指标的均值指标,包括:
...【技术特征摘要】
1.一种混合端口扫描行为检测方法,其特征在于,包括:
2.根据权利要求1所述的混合端口扫描行为检测方法,其特征在于,所述获取端口流量数据,对获取的流量数据进行数据清洗,包括:
3.根据权利要求1所述的混合端口扫描行为检测方法,其特征在于,所述获取时间窗口t内的所有流量数据,分别将源ip相同的流量数据、源ip与目的ip相同的流量数据、以及源ip与目的端口号相同的流量数据进行聚合,并提取出相应的特征指标,包括:
4.根据权利要求1所述的混合端口扫描行为检测方法,其特征在于,所述根据提取的特征指标确定每种特征指标的均值指标,包括:
5.根据权利要求1所述的混合端口扫描...
【专利技术属性】
技术研发人员:梁宇,路冰,赵红方,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。