本發明屬于網絡安全領域，具體涉及一種公共網絡環境下NMAP網絡掃描攻擊行為的檢測方法，包括：捕獲流經處于公共網絡環境中的終端設備的數據包，構建流量數據特征向量；將流量數據特征向量分別與每種NMAP掃描攻擊行為下各種數據包對應的標稱特征向量進行特征匹配，確定流量數據特征向量是否與該種NMAP掃描攻擊行為下的任一標稱特征向量相同；當存在一種NMAP掃描攻擊行為具有與流量數據特征向量相同的標稱特征向量，則判斷公共網絡環境受到該種NMAP掃描攻擊行為攻擊，當不存在時則判斷公共網絡環境未受到NMAP掃描攻擊行為攻擊。本發明實現針對掃描工具NMAP的典型掃描方式的全面檢測，改善了以往掃描檢測只針對部分掃描方式和命令以及特定網絡場景的缺點。

技術領域

本發明屬于網絡安全領域，更具體地，涉及一種公共網絡環境下NMAP網絡掃描攻擊行為的檢測方法。

背景技術

NMAP是一款由開源社區眾多志愿者所維護的一款掃描工具，目前已經成為業界內比較流行的一款掃描工具。NMAP具有非常強大的掃描功能：主機發現、端口掃描、服務與版本探測、操作系統探測、NSE腳本掃描。NMAP一般會被用來漏洞掃描等場景。NMAP支持的掃描方式比較多包括TCP SYN掃描、UDP掃描、PING掃描、非PING掃描等十幾種掃描類型。同時NMAP對于各個端口的開放狀態有更為細粒度的區分。除了常見的打開和關閉狀態外還定義了其他狀態。NMAP是目前被黑客廣泛使用的網絡掃描工具，根據掃描結果進而發起網絡攻擊行為。

因此，如果能在網絡流量中對NMAP工具的掃描攻擊行為進行精確檢測，就可以采取針對性的防御措施，進而避免目標受到攻擊，有效減少網絡安全事件的發生概率，提高網絡系統的防御能力。然而目前大部分的網絡安全防御系統都只能檢測少部分的網絡掃描行為(掃描方式)，比如TCP掃描、PING掃描或者在特定應用場景下進行檢測，比如Web服務掃描檢測和DNS服務掃描檢測以及SDN場景下的網絡掃描行為檢測，缺乏一種在公共網絡環境下的通用性檢測策略和手段。

發明內容

本發明提供一種公共網絡環境下NMAP網絡掃描攻擊行為的檢測方法，用以解決現有NMAP網絡掃描攻擊行為檢測僅針對部分攻擊行為以及特定網絡場景而存在應用受限的技術問題。

本發明解決上述技術問題的技術方案如下：一種公共網絡環境下NMAP網絡掃描攻擊行為的檢測方法，包括：

S1、捕獲流經處于公共網絡環境中的終端設備的數據包，構建流量數據特征向量；

S2、將所述流量數據特征向量分別與每種NMAP掃描攻擊行為下各種數據包對應的標稱特征向量進行特征匹配，確定所述流量數據特征向量是否與該種NMAP掃描攻擊行為下的一標稱特征向量相同；

S3、當存在一種NMAP掃描攻擊行為具有與所述流量數據特征向量相同的標稱特征向量，則判斷所述公共網絡環境受該種NMAP掃描攻擊行為攻擊，當不存在時則判斷公共網絡環境未受NMAP掃描攻擊行為攻擊。

本發明的有益效果是：本發明提供的一種公共網絡環境下NMAP網絡掃描攻擊行為的檢測方法，將流量數據特征向量分別與每種NMAP掃描攻擊行為下各種數據包對應的標稱特征向量進行特征匹配，以實現針對掃描工具NMAP的典型掃描方式進行全面檢測，改善了以往掃描檢測的只能針對部分掃描方式和命令進行檢測的缺點。同時，不同于其它掃描攻擊行為的檢測方法只能適用于特定網絡場景下的特點，本發明方法是一種通用網絡場景下的檢測和發現方法，可以在公共網絡場景下工作，在復雜的網絡場景中具有極強的適應性。

上述技術方案的基礎上，本發明還可以做如下改進。

進一步，所述NMAP掃描攻擊行為的種類有：主機發現掃描、端口掃描、操作系統掃描、服務與版本掃描和NSE腳本掃描；

且所述各種數據包對應的標稱特征向量包括該數據包內各掃描命令選項對應的標稱特征向量，且每個標稱特征向量為由其值固定且異于非攻擊行為的字段及其對應的字段值構成。