【技术实现步骤摘要】
本专利技术涉及网络安全,具体为一种基于自适应滑动窗口的网络扫描检测方法。
技术介绍
1、网络扫描是一把双刃剑,网络管理员通过网络扫描能检测网络中主机存在的漏洞,从而查漏补缺,使得网络运行更为安全可靠。然而现在网络扫描技术的发展,特别是黑客的积极参与使得网络扫描技术成为一种危害网络安全的行为。只有对网络扫描进行有效监控,才能更有效地保护网络。黑客在做网络攻击时,扫描往往是第一步。要完成一次成功的网络攻击,首先就是要收集目标的各种信息,然后攻击者可以根据这些信息对目标进行分析,找到目标系统存在的漏洞,从而便能利用这些漏洞或权限进行下一步行动。如果能检测到黑客的扫描行为,就可以在攻击还没造成实质性危害时修复漏洞,预防接下来可能的攻击行为。但随着大数据时代的来临,相应产生的网络流量也在急剧增加,如何鉴别异常流量,并在这海量数据中准确而高效地检测出扫描攻击行为,是现在网络安全领域中的一大难题。
2、网络扫描在一般情况下对目标网络中所有的地址进行扫描,来确定目标网络中的活跃主机,以及活跃主机所开启的端口。这种行为具有明显的特征:短时间内同一个源ip访问同一个目标ip的不同端口或者大量不同的目标ip,并且一般情况下目标ip地址还具有连续的特征。
3、现有技术中,专利公开号为cn116015890a的专利技术专利,公开一种网络扫描的检测方法、装置、电子设备和存储介质,包括获取若干网络端口在预设时长内的网络流量数据;从网络流量数据中提取得到若干特征值,使用特征选择算法从若干特征值中选取得到目标特征值,使用预设静态模型判断目
4、1、获取预设时长内的流量进行下一步操作判断,然后滑动到下一个窗口。若一个异常流量行为分散在两个窗口内,比如异常流量一半在前一个窗口内,另外一半在当前窗口内,同时两个窗口内的异常流量都无法体现异常特征,故无法检测其异常行为。
5、2、在选择目标特征值时需要根据网络端口收到的网络扫描类型和参数的不同进行特征选择。在实际攻击中,往往是无法得到网络扫描类型和参数。同时需要预设静态模型判断目标特征值是否大于预设阈值,进而判断是否受到网络扫描。
技术实现思路
1、本专利技术所要解决的技术问题在于:解决异常流量行为分散在两个窗口内,而无法检测其异常行为,以及无法确定网络扫描类型和参数而无法进行特征选择的问题。
2、为解决上述技术问题,本专利技术提供如下技术方案:
3、一种基于自适应滑动窗口的网络扫描检测方法,包括以下步骤:
4、s100,获取流量数据;
5、s200,设置白名单,通过白名单对所述流量数据进行过滤,获取过滤流量数据;
6、s300,对所述过滤流量数据,根据单个源ip地址进行分组,并对每个源ip地址下的窗口内所有发出去的数据包进行信息统计;
7、s400,根据统计的信息,设定判定规则,所述判定规则判定该ip地址是否存在网络扫描异常行为;其中,统计的信息包括:
8、1)不同目的ip地址的个数;
9、2)发给每个不同目的ip地址平均数据包的个数;
10、s500,对同一个源ip地址下,不同窗口之间,采用自适应滑动窗口的方式,滑动到下一个窗口,并重复步骤s400。
11、优点:根据数据包之间的时间间隔来进行滑动窗口,解决了异常流量分散在不同窗口而无法检测的问题,仅仅统计窗口内的流量特征,快速判断是否存在网络扫描异常流量,解决了无法确定网络扫描类型和参数而无法进行特征选择的问题,以及不需要根据预设静态模型进行判断。
12、在本专利技术的一实施例中,所述自适应滑动窗口的方式根据数据包之间时间间隔决定滑动窗口的步法大小。
13、在本专利技术的一实施例中,所述自适应滑动窗口的方式包括三种:
14、情况1:第一个窗口的最后一个数据包和第二个窗口的第一个数据包之间,时间间隔超过设定时间值;
15、情况2:第一个窗口的最后一个数据包和第二个窗口的第一个数据包之间,时间间隔小于设定时间值;并且第二个窗口的第一个数据包和第一个窗口的其中某个数据包之间时间间隔等于设定时间值;
16、情况3:第一个窗口的最后一个数据包和第二个窗口的第一个数据包之间,时间间隔小于设定时间值;并且第二个窗口的第一个数据包和第一个窗口的某两个数据包之间间隔为设定时间值。
17、在本专利技术的一实施例中,所述判定规则为:
18、不同目的ip地址的个数大于n,且发给每个不同目的ip平均数据包个数小于m,则认为该ip可能在进行网络扫描异常行为。
19、在本专利技术的一实施例中,在步骤s300中,对每个源ip地址下的窗口内所有发出去的数据包进行信息统计,其中,以时间长短作为窗口大小。
20、在本专利技术还提供一种上述所述的基于自适应滑动窗口的网络扫描检测方法的系统,包括:
21、数据收集模块,用于获取流量数据;
22、过滤模块,用于设置白名单,通过白名单对所述流量数据进行过滤,获取过滤流量数据;
23、分组统计模块,用于对所述过滤流量数据,根据单个源ip地址进行分组,并对每个源ip地址下的窗口内所有发出去的数据包进行信息统计;
24、检测模块,用于根据统计的信息,设定判定规则,所述判定规则判定该ip地址是否存在网络扫描异常行为;其中,统计的信息包括:
25、1)不同目的ip地址的个数;
26、2)发给每个不同目的ip地址平均数据包的个数;
27、自适应窗口检测模块,用于对同一个源ip地址下,不同窗口之间,采用自适应滑动窗口的方式,滑动到下一个窗口,并重复所述检测模块。
28、在本专利技术的一实施例中,自适应窗口检测模块中,所述自适应滑动窗口的方式根据数据包之间时间间隔决定滑动窗口的步法大小。
29、在本专利技术的一实施例中,所述自适应滑动窗口的方式包括三种:
30、情况1:第一个窗口的最后一个数据包和第二个窗口的第一个数据包之间,时间间隔超过设定时间值;
31、情况2:第一个窗口的最后一个数据包和第二个窗口的第一个数据包之间,时间间隔小于设定时间值;并且第二个窗口的第一个数据包和第一个窗口的其中某个数据包之间时间间隔等于设定时间值;
32、情况3:第一个窗口的最后一个数据包和第二个窗口的第一个数据包之间,时间间隔小于设定时间值;并且第二个窗口的第一个数据包和第一个窗口的某两个数据包之间间隔为设定时间值。
33、在本专利技术的一实施例中,所述判定规则为:
34、不同目的ip地址的个数大于n,且发给每个不同目的ip平均数据包个数小于m,则认为该ip可能在进行网络扫描异常行为。
35、在本专利技术的一实施例中,在分组统计模块中,对每个源ip地址下的窗口内所有发出去的数本文档来自技高网...
【技术保护点】
1.一种基于自适应滑动窗口的网络扫描检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,所述自适应滑动窗口的方式根据数据包之间时间间隔决定滑动窗口的步法大小。
3.根据权利要求2所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,所述自适应滑动窗口的方式包括三种:
4.根据权利要求1所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,所述判定规则为:
5.根据权利要求1所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,在步骤S300中,对每个源IP地址下的窗口内所有发出去的数据包进行信息统计,其中,以时间长短作为窗口大小。
6.一种根据权利要求1-5任一所述的基于自适应滑动窗口的网络扫描检测方法的系统,其特征在于,包括:
7.根据权利要求6所述的基于自适应滑动窗口的网络扫描检测方法的系统,其特征在于,自适应窗口检测模块中,所述自适应滑动窗口的方式根据数据包之间时间间隔决定滑动窗口的步法大小。
8.根据权利要求7所述的基于自适
9.根据权利要求6所述的基于自适应滑动窗口的网络扫描检测方法的系统,其特征在于,所述判定规则为:
10.根据权利要求6所述的基于自适应滑动窗口的网络扫描检测方法的系统,其特征在于,在分组统计模块中,对每个源IP地址下的窗口内所有发出去的数据包进行信息统计,其中,以时间长短作为窗口大小。
...【技术特征摘要】
1.一种基于自适应滑动窗口的网络扫描检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,所述自适应滑动窗口的方式根据数据包之间时间间隔决定滑动窗口的步法大小。
3.根据权利要求2所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,所述自适应滑动窗口的方式包括三种:
4.根据权利要求1所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,所述判定规则为:
5.根据权利要求1所述的基于自适应滑动窗口的网络扫描检测方法,其特征在于,在步骤s300中,对每个源ip地址下的窗口内所有发出去的数据包进行信息统计,其中,以时间长短作为窗口大小。
6.一种根据权利要求1-5任一...
【专利技术属性】
技术研发人员:曹骞,叶海燕,刘振羽,徐兵,张自锋,吴其林,黄赞杰,叶奇鲁,朱兴旺,
申请(专利权)人:巢湖学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。