[發(fā)明專利]檢測ICMP網(wǎng)絡掃描網(wǎng)絡攻擊行為的方法、裝置、電子設備及介質(zhì)有效
| 申請?zhí)枺?/td> | 202210168266.1 | 申請日: | 2022-02-24 |
| 公開(公告)號: | CN114244632B | 公開(公告)日: | 2022-05-03 |
| 發(fā)明(設計)人: | 徐明;李曉冉;辜乘風;魏國富;殷錢安;周曉勇;陶景龍;余賢喆;梁淑云;劉勝;王啟凡;馬影 | 申請(專利權(quán))人: | 上海觀安信息技術(shù)股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L41/12 |
| 代理公司: | 北京中強智尚知識產(chǎn)權(quán)代理有限公司 11448 | 代理人: | 黃耀威 |
| 地址: | 200000 上海市浦東新*** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 檢測 icmp 網(wǎng)絡 掃描 攻擊行為 方法 裝置 電子設備 介質(zhì) | ||
本發(fā)明公開了一種檢測ICMP網(wǎng)絡掃描攻擊行為的方法、裝置、電子設備及介質(zhì),該方法首先獲取實時數(shù)據(jù)、實時數(shù)據(jù)的源IP地址、歷史ICMP通信結(jié)構(gòu)圖以及歷史ICMP通信結(jié)構(gòu)圖的各節(jié)點的IP地址及對應的特征信息,然后基于實時數(shù)據(jù),更新歷史ICMP通信結(jié)構(gòu)圖,得到新的ICMP通信結(jié)構(gòu)圖;再基于實時數(shù)據(jù)的源IP地址及新的ICMP通信結(jié)構(gòu)圖,確定源IP地址對應的節(jié)點的特征信息;之后基于源IP地址、源IP地址對應的節(jié)點的特征信息、歷史ICMP通信結(jié)構(gòu)圖的各節(jié)點的IP地址及對應的特征信息,得到新的ICMP通信結(jié)構(gòu)圖中每個節(jié)點對應的鍵值對,最后通過建模判斷是否存在ICMP網(wǎng)絡掃描攻擊行為。由此該方能夠及時檢測出ICMP網(wǎng)絡掃描攻擊行為,提高了網(wǎng)絡的安全性。
技術(shù)領域
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領域,特別涉及一種檢測ICMP網(wǎng)絡掃描攻擊行為的方法、裝置、電子設備及介質(zhì)。
背景技術(shù)
網(wǎng)絡掃描是網(wǎng)絡攻擊中的一種信息收集手段,當網(wǎng)絡中某個主機被滲透后,攻擊者會利用該主機作為跳板對局域網(wǎng)內(nèi)其他主機進行掃描,其目的是確定哪些IP地址已連接計算機。而網(wǎng)絡控制消息協(xié)議(Internet Control Message Protocol,ICMP)具有探測主機是否存在、是否可達、路由是否可用等功能。基于此,網(wǎng)絡攻擊者能夠利用ICMP掃描精確定位到網(wǎng)絡中主機的IP分配。因此,及時發(fā)現(xiàn)基于ICMP掃描的攻擊行為就尤為重要。
在現(xiàn)有技術(shù)中,檢測基于ICMP掃描的攻擊行為的方法為:首先需要在預定的時間周期內(nèi)獲取網(wǎng)絡數(shù)據(jù)并提取掃描特征,然后利用掃描特征和分類器檢測是否存在攻擊行為。但是,該方法需要在預定的時間周期內(nèi)獲取網(wǎng)絡數(shù)據(jù)作為分析攻擊行為的基礎,也就是說每隔一定的時間段才對網(wǎng)絡數(shù)據(jù)進行收集,這樣就很難及時檢測出攻擊行為,導致網(wǎng)絡安全性降低。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種檢測ICMP網(wǎng)絡掃描攻擊行為的方法、裝置、電子設備及介質(zhì),主要目的在于解決以上現(xiàn)有技術(shù)中的技術(shù)問題。
第一方面,根據(jù)本發(fā)明的實施例,提供了一種檢測ICMP網(wǎng)絡掃描攻擊行為的方法,包括:
獲取實時數(shù)據(jù)、所述實時數(shù)據(jù)的源IP地址、歷史ICMP通信結(jié)構(gòu)圖以及所述歷史ICMP通信結(jié)構(gòu)圖的各節(jié)點的IP地址及對應的特征信息,其中,所述歷史ICMP通信結(jié)構(gòu)圖為以IP地址為節(jié)點且以ICMP通信記錄為邊的圖數(shù)據(jù)結(jié)構(gòu),所述特征信息包括特征類型及對應的特征值;
基于所述實時數(shù)據(jù),更新所述歷史ICMP通信結(jié)構(gòu)圖,得到新的ICMP通信結(jié)構(gòu)圖;
基于所述實時數(shù)據(jù)的源IP地址及所述新的ICMP通信結(jié)構(gòu)圖,確定所述源IP地址對應的節(jié)點的特征信息,以實時獲得所述實時數(shù)據(jù)的特征信息;
基于所述源IP地址、所述源IP地址對應的節(jié)點的特征信息、所述歷史ICMP通信結(jié)構(gòu)圖的各節(jié)點的IP地址及對應的特征信息,得到所述新的ICMP通信結(jié)構(gòu)圖中每個節(jié)點對應的鍵值對,其中,每個所述鍵值對包括每個節(jié)點的IP地址及對應的特征信息;
基于所有所述鍵值對,通過建模判斷是否存在ICMP網(wǎng)絡掃描攻擊行為。
在一些可能實現(xiàn)的方式中,所述通過建模判斷是否存在ICMP網(wǎng)絡掃描攻擊行為,包括:
對所有所述鍵值對進行無監(jiān)督學習,判斷是否存在異常鍵值對;
如果存在異常鍵值對,則獲取所述異常鍵值對,并判定所述異常鍵值對是否為ICMP網(wǎng)絡掃描攻擊行為數(shù)據(jù);
如果所述異常鍵值對為ICMP網(wǎng)絡掃描攻擊行為數(shù)據(jù),則確定存在ICMP網(wǎng)絡掃描攻擊行為。
在一些可能實現(xiàn)的方式中,所述判定所述異常鍵值對是否為ICMP網(wǎng)絡掃描攻擊行為數(shù)據(jù),包括:
基于所述異常鍵值對的特征信息,得到所述異常鍵值對的分數(shù)值;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海觀安信息技術(shù)股份有限公司,未經(jīng)上海觀安信息技術(shù)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210168266.1/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡和網(wǎng)絡終端
- 網(wǎng)絡DNA
- 網(wǎng)絡地址自適應系統(tǒng)和方法及應用系統(tǒng)和方法
- 網(wǎng)絡系統(tǒng)及網(wǎng)絡至網(wǎng)絡橋接器
- 一種電力線網(wǎng)絡中根節(jié)點網(wǎng)絡協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡裝置、網(wǎng)絡系統(tǒng)、網(wǎng)絡方法以及網(wǎng)絡程序
- 從重復網(wǎng)絡地址自動恢復的方法、網(wǎng)絡設備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡的訓練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡管理方法和裝置
