[发明专利]基于网络会话统计特征的大规模网络扫描检测方法

摘要

本发明提供了一种基于网络会话统计特征的大规模扫描行为的检测方法，属于互联网安全技术领域。本发明对捕获的原始网络数据，按协议类型筛选分类；再从数据中还原每个会话，将会话按照源IP聚类；统计每个IP所有会话的异常返回值数目，计算出异常返回值与正常返回值的数目比值；分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；根据比值和请求模式判断是否有攻击行为，当有攻击行为时，获取攻击者和攻击目标的IP信息，并相应地做出处理措施。本发明的实际可行性十分高，检测方法具有普遍性，可以识别出攻击者对任意IP做扫描的情况，并有机率检测未知的攻击方式。

主权项

1.一种基于网络会话统计特征的大规模扫描行为的检测方法，其特征在于，实现步骤如下：步骤101：从节点捕获原始网络数据流；步骤102：按协议类型将数据进行筛选分类；步骤103：从数据中还原每个会话，将会话按照不同源IP聚成不同的类；步骤104：统计每个IP所有会话的异常返回值数目，并计算出异常返回值与正常返回值的数目比值K，K为正数；步骤105：分析每个IP所有会话的请求模式，观察异常返回值对应的请求模式是否一致；所述的异常返回值与请求模式，在HTTP、FTP和SNMP协议中的定义如下：(1)HTTP协议：HTTP协议对应的返回值为每次HTTP请求的返回值，定义异常返回值包括401、403和404；对应的请求模式为每次HTTP请求对应的URL，URL表示统一资源定位符；(2)FTP协议：FTP协议对应的返回值为每次提交的返回FTP命令的返回值，定义异常返回值包括331和530；对应的请求模式为不断输入用户名和密码，尝试连接FTP服务器；(3)SNMP协议：每次SNMP请求都会对应一个oid，oid为系统的对象标识符，SNMP协议的请求模式为每次snmp请求中相应的oid，对应的异常返回值为oid相应的返回信息；若某个IP不断对不同设备发送相同oid号的snmp request请求，且为同一个或者同几个oid，则认为它符合攻击特征；步骤106：判断数据中是否有攻击行为，如果有，执行步骤107；否则转步骤108执行；判断是否有攻击行为具体方法是：设定阈值A和阈值B，A、B均为正数，当异常返回值数目超过阈值A，且比值K超过阈值B时，进一步查看异常返回值对应的请求模式是否达到90％的一致，若是，认为存在异常流量，有攻击行为；否则，认为没有攻击行为；步骤107：获取攻击者和攻击目标的IP信息，并相应地做出处理措施；步骤108：检测结束。