[发明专利]端口扫描攻击的检测方法、装置、电子设备及存储介质

说明书

本发明实施例提供了一种端口扫描攻击的检测方法、装置、电子设备及存储介质，用以解决现有的端口扫描攻击的检测方法分析数量巨大、误报率高及资源消耗大的问题。该方法包括：采集流量数据，将所述流量数据分为DNS流量数据及非DNS流量数据；对DNS流量数据归并融合，形成DNS会话数据；对非DNS流量数据归并融合，形成非DNS会话数据；将DNS会话数据和非DNS会话数据相互关联融合，形成完整的会话数据；采用算法分析所述完整的会话数据，判定疑似端口扫描攻击；采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性，最终确定攻击源IP。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种端口扫描攻击的检测方法、装置、电子设备及存储介质。

背景技术

随着计算机技术的发展与普及，计算机应用已经全面渗透到人们的工作与生活中，成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。

端口扫描攻击是指攻击者利用扫描目标主机的服务端口和端口相关信息，了解目标主机的网络服务类型，寻找目标主机的攻击弱点。端口扫描攻击包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。目前，端口扫描攻击检测方法存在以下几个特点：1)对单一流量进行端口扫描检测，将采集的流量信息汇总，提取流量特征进行检测分析。2)建立流量数据的基线参考区间，当流量数据处于该区间之外时，触发启动相应警报。3)基于机器学习的端口扫描检测方法，使用大量正常流量与端口扫描流量，在设定约束条件利用神经网络进行学习训练，然后再进行分类。

现有的大部分的端口扫描攻击方法都是对采集的单一流量进行检测分析，未对流量数据进行归并融合，导致其数据分析量巨大；大部分检测使用设定静态基线的方法，但由于检测环境影响基线的因素较多，往往误报率较高；使用机器学习的方法对采集的流量进行学习训练，误报率低但资源消耗极大。

发明内容

本发明实施例提供了一种端口扫描攻击的检测方法、装置、电子设备及存储介质，用以解决现有的端口扫描攻击的检测方法分析数量巨大、误报率高及资源消耗大的问题。

基于上述问题，本发明实施例提供的一种端口扫描攻击的检测方法，包括：

采集流量数据，将所述流量数据分为DNS流量数据及非DNS流量数据；对DNS流量数据归并融合，形成DNS会话数据；对非DNS流量数据归并融合，形成非DNS会话数据；将DNS会话数据和非DNS会话数据相互关联融合，形成完整的会话数据；采用算法分析所述完整的会话数据，判定疑似端口扫描攻击；采用信息熵算法分析疑似端口扫描攻击对应会话数据的分散性与集中性，最终确定攻击源IP。

进一步地，对DNS流量数据归并融合，形成DNS会话数据，具体为：提取DNS流量数据中源IP、源端口、目的IP、目的端口构成DNS特征；将源端口或目的端口为53的DNS流量数据的源IP、源端口与目的IP、目的端口进行信息调换；将信息调换后的源IP、目的IP、源端口、目的端口、时间对进行归并，形成DNS会话数据。

进一步地，对非DNS流量数据归并融合，形成非DNS会话数据，具体为：提取非DNS流量数据中源IP、源端口、目的IP、目的端口及协议构成非DNS特征；根据所述非DNS特征对非DNS流量数据进行合并，形成非DNS会话数据。

进一步地，将DNS会话数据和非DNS会话数据相互关联融合，形成完整的会话数据，具体为：设置时限，将时限内的DNS会话数据中返回的DNS应答IP与非DNS数据中的目的IP进行关联，并将DNS会话数据和非DNS会话数据融合，形成完整的会话数据。