本發明公開一種基于掃描報文行為的判定方法及裝置。所述方法包括通過學習網絡中正常的交互報文，構建網絡中主機合法行為映射表；進行實時報文檢測，捕獲掃描特征的報文；獲取掃描特征的報文的目的端口，與合法行為映射表進行比對：若在合法行為映射表中命中，則正常放行報文；若在合法行為映射表中未命中，則進行報文攔截判定，根據報文攔截判定結果進行報文攔截或放行。采用本發明技術方案，可以快速準確的判定掃描行為并進行攔截。

技術領域

本發明涉及工業控制技術領域，尤其涉及一種基于掃描報文行為的判定方法及裝置。

背景技術

目前，隨著工業化與信息化進程的不斷交叉融合，越來越多的信息技術應用到了工業領域。在工業防火墻等防護設備里面，需要用到掃描防護的功能，傳統的掃描行為的判斷往往通過掃描特征報文的速率來進行判斷，存在諸多缺點，例如：第一，僅僅通過速率需要速率達到閾值才可以進行判定，不能快速判定，第二，僅僅通過速率判定，可以通過降低速率的方式，規避掉掃描防護功能的攔截，導致防護失效。本發明提供了一種基于掃描報文行為的判定方法，可以快速準確的判定掃描行為并進行攔截。

發明內容

本發明提供了一種基于掃描報文行為的判定方法，包括：

通過學習網絡中正常的交互報文，構建網絡中主機合法行為映射表；

進行實時報文檢測，捕獲掃描特征的報文；

獲取掃描特征的報文的目的端口，與合法行為映射表進行比對：

若在合法行為映射表中命中，則正常放行報文；

若在合法行為映射表中未命中，則進行報文攔截判定，根據報文攔截判定結果進行報文攔截或放行。

如上所述的基于掃描報文行為的判定方法，其中，掃描特征的報文包括TCP掃描報文、UDP掃描報文；TCP掃描報文包括SYN掃描，FIN掃描，NULL掃描、ACK掃描，UDP掃描報文包括負載長度為0的UDP報文。

如上所述的基于掃描報文行為的判定方法，其中，預先采集網絡中正常業務的交互報文進行學習，記錄這些交互報文中各主機的IP+port，構建網絡中包括主機IP+port的一個合法行為映射表。

如上所述的基于掃描報文行為的判定方法，其中，若在合法行為映射表中未命中，且此報文沒有被響應，則更新異常映射表，對本次行為的IP+port進行計數累加，若計數值小于閾值，則正常放行報文；若計數值大于等于閾值，對異常映射表進行分析，若符合攔截行為特征，則進行攔截，否則放行報文。

如上所述的基于掃描報文行為的判定方法，其中，攔截行為特征具體為：如果port端口為一個固定值，則認定屬于異常行為，對本報文及此IP的后續報文進行攔截處理。

如上所述的基于掃描報文行為的判定方法，其中，攔截行為特征具體為：如果port端口為遞增或者遞減分布，則是典型的掃描行為，對本報文及此IP的后續報文進行攔截。

如上所述的基于掃描報文行為的判定方法，其中，攔截行為特征具體為：如果port端口不連續但是都是知名端口，則符合典型的掃描行為，對本報文及此IP地址的后續報文進行攔截。

如上所述的基于掃描報文行為的判定方法，其中，若在合法行為映射表中未命中，但是此報文被正常響應，則可能是合法映射表沒有記錄的新建連接，將此次行為的IP+port更新到合法映射表，并放行報文。

本發明還提供一種基于掃描報文行為的判定裝置，所述裝置執行上述任一項所述的基于掃描報文行為的判定方法。

本發明還提供一種計算機可讀存儲介質，其特征在于，所述計算機存儲介質中包含一個或多個程序指令，所述一個或多個程序指令用于被處理器執行上述任一項所述的一種基于掃描報文行為的判定方法。