【技术实现步骤摘要】
本申请涉及网络安全领域,特别涉及一种扫描攻击检测方法及设备、防护系统。
技术介绍
1、目前网络中的扫描攻击方式主要有两种。第一种是攻击者进行主机漏洞的探测,通过扫描指定网段内所有主机的互联网协议(internet protocol,ip)地址及端口,查找是否有漏洞存在,以便攻击者入侵主机。比如攻击者首先使用网络映射器(network mapper,nmap)、hping或x-scan等扫描工具,通过同步序列编号(synchronize sequence numbers,syn)报文或互联网控制消息协议(internet control message protocol,icmp)报文遍历探测一个或多个网段内的所有主机,查看有无开放的服务端口,然后利用开放的服务端口,进一步挖掘系统漏洞,获取系统权限,注入木马或脚本程序,以获取隐私信息。另外攻击者还可以通过入侵主机发动其它攻击行为。第二种是攻击者对指定网段内的所有主机进行分布式拒绝服务(distributed denial of service,ddos)攻击,直接占用网络带宽和影响主机服...
【技术保护点】
1.一种扫描攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述攻击判定条件包括以下一个或多个:
3.根据权利要求1或2所述的方法,其特征在于,所述目标主机对应的目的端标识集合包括所述目标主机在所述统计时间段内访问过的所有地址,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
6.根据权利要求3所述的方法,其特征在于,所述服务地址集合通过配置得到。
7.根据权利要求3至6任一...
【技术特征摘要】
1.一种扫描攻击检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述攻击判定条件包括以下一个或多个:
3.根据权利要求1或2所述的方法,其特征在于,所述目标主机对应的目的端标识集合包括所述目标主机在所述统计时间段内访问过的所有地址,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
6.根据权利要求3所述的方法,其特征在于,所述服务地址集合通过配置得到。
7.根据权利要求3至6任一所述的方法,其特征在于,所述服务地址集合和所述目标主机对应的目的端标识集合分别采用一个位图表示,所述位图中包括多个比特位,所述多个比特位中的每个比特位分别对应所述受保护网络的网段地址中的一个地址,用于表示所述服务地址集合的位图中的每个比特位的取值用于指示对应的地址是否属于所述服务地址集合,用于表示所述目标主机对应的目的端标识集合的位图中的每个比特位的取值用于指示对应的地址是否属于所述目的端标识集合。
8.根据权利要求1或2所述的方法,其特征在于,所述目标主机对应的目的端标识集合包括所述目标主机在所述统计时间段内访问过的所有端口号,所述方法还包括:
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:
11.根据权利要求8所述的方法,其特征在于,所述服务端口集合通过配置得到。
12.根据权利要求1至11任一所述的方法,其特征在于,所述目标主机对应的目的端标识集合包括所述目标主机在所述统计时间段内访问过的所有地址和所有端口号,所述目的端标识集合中无效的目的端标识的数量满足所述攻击判定条件,包括:所述目的端标识集合中无效的地址的数量满足第一攻击判定条件,且所述目的端标识集合中无效的端口号的数量满足第二攻击判定条件。
13.根据权利要求1至12任一所述的方法,其特征在于,在确定所述目标主机的地址为攻击源地址之后,所述方法还包括:
14.根据权利要求13所述的方法,其特征在于,所述方法应用于所述防护设备,在所述生成过滤规则之后,所述方法还包括:
15.根据权利要求13所述的方法,其特征在于,所述方法应用于分析设备,所述分析设备与所述防护设备通信连接,在所述生成过滤规则之后,所述方法还包括:
16.一种扫描攻击检测设备,其特征在于,包括:存储器、网络接口和至少一个处理器,
17.根据权利要求16所述的扫描攻击检测设备,其特征在于,所述目标主机对应的目的端标识集合包括所述目标主机在所述统计时间段内访问过的所有地址,所述程序指令被所述至少一个处理器读取后,使得所述扫描攻击检测设备还执...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。