本發明公開了一種面向高速網絡抽樣數據采集場景的慢速端口掃描檢測方法，該方法首先對公開數據集進行系統抽樣，然后利用一個包含4個計數器和2個哈希表的sketch結構提取流量特征。首先采用K?means算法對流量特征進行聚類，然后基于規則對已知掃描流所在簇中的流量進行驗證和標注，進而構建具有完整標簽的訓練集。最后，利用有監督機器學習算法訓練用于端口掃描檢測的分類模型。該分類模型在抽樣數據采集情景下檢測出高速網絡中TCP和UDP的慢速端口掃描活動，對于持續時間超過50天的慢速掃描攻擊，該方法仍然有效。本發明使用有限的內存實現對海量高速流量中端口掃描事件的檢測，被網絡管理者用于高速網絡中的安全事件監測。

技術領域

本發明涉及一種面向高速網絡抽樣數據采集場景的慢速端口掃描檢測方法，屬于網絡安全技術領域。

背景技術

端口掃描是指攻擊者向目標主機發送一組探測消息并等待回復，通過觀察收到的響應獲取目標主機的端口狀態，進而了解其提供的網絡服務類型。盡管端口掃描攻擊不會直接對受害者造成實質性的傷害，但它們會暴露目標主機可以被攻擊的入口點。因此，端口掃描檢測對于防止攻擊者對網絡系統造成進一步破壞具有至關重要的意義。

然而，一些惡意的攻擊者為了避免被發現，會執行慢速端口掃描。在慢速掃描攻擊中，掃描探測包之間的時間間隔較長(10秒以上)，其表現出的流量特征不夠明顯，并且與大量正常流量交錯，所以很難被現有的入侵檢測系統發現。可見，檢測慢速端口掃描是一項重要且具有挑戰性的任務。

目前，研究者們已經提出了一系列檢測端口掃描的方法，其中基于閾值和基于機器學習的方法被廣泛應用。但是這些方法仍存在一些問題，效果并不是很理想。

(1)基于閾值的端口掃描檢測方法

基于閾值的方法通過判斷某段時間內每個源IP地址請求的端口數量是否超過預先設定的閾值來確定端口掃描攻擊是否發生，然而，此類方法的準確性受時間窗口大小的影響很大。由于慢速端口掃描通常具有持續時間長、探測包之間時間間隔大的特點，因此，這類方法在檢測慢速端口掃描時準確率非常低。

(2)基于機器學習的端口掃描檢測方法

基于機器學習的檢測方法通過訓練分類模型實現對未知流量的檢測，該類方法需要預先對全部或者部分特征數據進行人工標記，然而，面對具有海量流量數據的高速網絡，人工標記需要耗費十分昂貴的代價。這種對標簽數據的強依賴性導致現有的基于機器學習的端口掃描檢測方法不能應用于高速網絡環境。

發明內容

為解決上述問題，本發明公開了一種面向高速網絡抽樣數據采集場景的慢速端口掃描檢測方法，該方法首先對公開數據集進行系統抽樣，然后利用一個包含4個計數器和2個哈希表的sketch結構提取流量特征。鑒于公開數據集缺乏完整標簽，為了建立訓練集，首先采用K-means算法對流量特征進行聚類，然后基于規則對已知掃描流所在簇中的流量進行驗證和標注，進而構建具有完整標簽的訓練集。最后，利用有監督機器學習算法訓練用于端口掃描檢測的分類模型。該分類模型可以在抽樣數據采集情景下檢測出高速網絡中TCP和UDP的慢速端口掃描活動，并且對于持續時間超過50天的慢速掃描攻擊，該方法仍然有效。

為了實現本發明的目的，本方案具體技術步驟如下：

步驟(1)獲取一段在主干網節點持續采集一段時間的高速網絡流量數據，其中含有部分端口掃描流量；

步驟(2)設置抽樣比為1/μ，對獲取的公開數據集進行系統抽樣；

步驟(3)使用掃描檢測sketch對抽樣后的TCP和UDP流量進行特征提?。?/p>

步驟(4)采用K-means算法對流量特征進行聚類，并基于規則對已知掃描流所在簇中的流量進行驗證并標注，進而得到具有完整標簽的訓練集；

步驟(5)使用有監督機器學習算法對步驟(4)得到的訓練集進行模型訓練，得到分類模型；