[發(fā)明專利]一種端口掃描的檢測方法及裝置有效
| 申請?zhí)枺?/td> | 202011012504.7 | 申請日: | 2020-09-23 |
| 公開(公告)號: | CN112187775B | 公開(公告)日: | 2021-09-03 |
| 發(fā)明(設(shè)計)人: | 劉斐然 | 申請(專利權(quán))人: | 北京微步在線科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 北京金信知識產(chǎn)權(quán)代理有限公司 11225 | 代理人: | 喻嶸 |
| 地址: | 100086 北京市海*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 端口掃描 檢測 方法 裝置 | ||
本申請公開了一種端口掃描的檢測方法及裝置,用以提高端口掃描的檢測精準度。所述方法包括:在組內(nèi)設(shè)備運行過程中,獲取組內(nèi)所有設(shè)備接收到的數(shù)據(jù)包;根據(jù)所述數(shù)據(jù)包的多項參數(shù)判斷所述數(shù)據(jù)包是否為端口掃描對應(yīng)的數(shù)據(jù)包;當所述數(shù)據(jù)包為端口掃描對應(yīng)的數(shù)據(jù)包時,顯示所述端口掃描對應(yīng)的數(shù)據(jù)包的源地址。采用本申請所提供的方案,能夠獲取組內(nèi)所有設(shè)備接收到的數(shù)據(jù)包,從而可以根據(jù)組內(nèi)所有設(shè)備接收到的數(shù)據(jù)包進行端口掃描的檢測,避免漏報,其次,通過數(shù)據(jù)包的多項參數(shù)判斷所述數(shù)據(jù)包是否為端口掃描對應(yīng)的數(shù)據(jù)包,避免僅統(tǒng)計數(shù)據(jù)包數(shù)量導(dǎo)致端口掃描的檢測精準度低的問題,提升了端口掃描的檢測精準度。
技術(shù)領(lǐng)域
本申請涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種端口掃描的檢測方法及裝置。
背景技術(shù)
端口掃描是指某些別有用心的人發(fā)送一組端口掃描消息,試圖以此侵入某臺計算機,并了解其提供的計算機網(wǎng)絡(luò)服務(wù)類型(這些網(wǎng)絡(luò)服務(wù)均與端口號相關(guān))。往往發(fā)生在滲透攻擊的初期。
現(xiàn)有的端口掃描攻擊,由于其原理是通過統(tǒng)計短期內(nèi)發(fā)送的數(shù)據(jù)包數(shù)量來檢測的,沒有考慮其他因素,所以在檢測過程中會存在兩個主要問題:1.漏報:傳統(tǒng)的端口掃描是對單一的目標進行全端口掃描,近代的端口掃描往往是對一組目標進行單一端口的掃描,現(xiàn)有的檢測方法是不能檢測到這種掃描的。2.誤報:現(xiàn)有的檢測方法對于某些短時間會產(chǎn)生大量數(shù)據(jù)包的應(yīng)用會產(chǎn)生誤報,如:P2P下載等。也會對某類IP產(chǎn)生誤報,如組網(wǎng)區(qū)域的網(wǎng)絡(luò)出口,由于這類IP背后的用戶很多,也會在短期產(chǎn)生大量數(shù)據(jù)包。由于現(xiàn)有的檢測方式會產(chǎn)生漏報和誤報,現(xiàn)有的檢測方式對于端口掃描的檢測精準度較低,因此,如何提供一種端口掃描的檢測方法,以提高端口掃描的檢測精準度,是一亟待解決的技術(shù)問題。
發(fā)明內(nèi)容
本申請實施例的目的在于提供一種端口掃描的檢測方法及裝置,用以提高端口掃描的檢測精準度。
為了解決上述技術(shù)問題,本申請的實施例采用了如下技術(shù)方案:一種端口掃描的檢測方法,包括:
在組內(nèi)設(shè)備運行過程中,獲取組內(nèi)所有設(shè)備接收到的數(shù)據(jù)包;
根據(jù)所述數(shù)據(jù)包的多項參數(shù)判斷所述數(shù)據(jù)包是否為端口掃描對應(yīng)的數(shù)據(jù)包;
當所述數(shù)據(jù)包為端口掃描對應(yīng)的數(shù)據(jù)包時,顯示所述端口掃描對應(yīng)的數(shù)據(jù)包的源地址。
本申請的有益效果在于:能夠獲取組內(nèi)所有設(shè)備接收到的數(shù)據(jù)包,從而可以根據(jù)組內(nèi)所有設(shè)備接收到的數(shù)據(jù)包進行端口掃描的檢測,避免漏報,其次,通過數(shù)據(jù)包的多項參數(shù)判斷所述數(shù)據(jù)包是否為端口掃描對應(yīng)的數(shù)據(jù)包,避免僅統(tǒng)計數(shù)據(jù)包數(shù)量導(dǎo)致端口掃描的檢測精準度低的問題,提升了端口掃描的檢測精準度。
在一個實施例中,所述根據(jù)數(shù)據(jù)包的多項參數(shù)判斷所述數(shù)據(jù)包是否為端口掃描對應(yīng)的數(shù)據(jù)包,包括:
根據(jù)數(shù)據(jù)包對應(yīng)的源地址確定非可信數(shù)據(jù)包;
根據(jù)來自同一源地址的非可信數(shù)據(jù)包的有效發(fā)送頻率確定所述非可信數(shù)據(jù)包中的候選數(shù)據(jù)包;
根據(jù)第一預(yù)設(shè)規(guī)則從所述候選數(shù)據(jù)包中選取端口掃描對應(yīng)的數(shù)據(jù)包。
在一個實施例中,所述根據(jù)數(shù)據(jù)包對應(yīng)的源地址確定非可信數(shù)據(jù)包,包括:
根據(jù)第二預(yù)設(shè)規(guī)則確定可信地址;
確定組內(nèi)所有設(shè)備接收到的數(shù)據(jù)包中,除所述可信地址對應(yīng)的數(shù)據(jù)包之外的其他數(shù)據(jù)包為非可信數(shù)據(jù)包。
在一個實施例中,所述根據(jù)第二預(yù)設(shè)規(guī)則確定可信地址,包括:
從域名信息查詢服務(wù)對應(yīng)的網(wǎng)站中抓取全球域名的排名信息;
確定所述排名信息中高于預(yù)設(shè)排名的域名為可信地址;
和/或
獲取本地預(yù)存儲的地址白名單;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京微步在線科技有限公司,未經(jīng)北京微步在線科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011012504.7/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
