專(zhuān)利名稱(chēng):一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法和系統(tǒng),屬于計(jì) 算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù):
隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)上發(fā)生的安全事件也逐漸增多,從早期的 蠕蟲(chóng)攻擊事件到現(xiàn)在的拒絕服務(wù)攻擊和僵尸網(wǎng)絡(luò)事件,這些網(wǎng)絡(luò)安全事件為個(gè) 人和社會(huì)帶來(lái)很大的經(jīng)濟(jì)損失。如何檢測(cè)和防范這些網(wǎng)絡(luò)安全事件已經(jīng)成為網(wǎng) 絡(luò)安全領(lǐng)域的研究熱點(diǎn)。不管是蠕蟲(chóng)攻擊、拒絕服務(wù)攻擊和僵尸網(wǎng)絡(luò)事件,其 早期攻擊行為都表現(xiàn)為對(duì)互聯(lián)網(wǎng)絡(luò)進(jìn)行掃描,以發(fā)現(xiàn)互聯(lián)網(wǎng)絡(luò)中可利用的網(wǎng)絡(luò) 節(jié)點(diǎn),并且,為避免被發(fā)現(xiàn),多數(shù)網(wǎng)絡(luò)攻擊行為都采用較隱蔽的網(wǎng)絡(luò)慢掃描方 法。
根據(jù)檢測(cè)指標(biāo)的不同,可以將現(xiàn)有網(wǎng)絡(luò)掃描檢測(cè)方法分為以下4類(lèi)1)網(wǎng) 絡(luò)訪問(wèn)次數(shù)統(tǒng)計(jì);2)網(wǎng)絡(luò)訪問(wèn)速率統(tǒng)計(jì);3)網(wǎng)絡(luò)訪問(wèn)成功比率統(tǒng)計(jì);4)網(wǎng)絡(luò) 訪問(wèn)失敗比率統(tǒng)計(jì)。開(kāi)源IDS Bro采用網(wǎng)絡(luò)訪問(wèn)次數(shù)統(tǒng)計(jì)方法來(lái)檢測(cè)網(wǎng)絡(luò)掃描事 件,它能夠檢測(cè)網(wǎng)絡(luò)慢掃描事件,但誤報(bào)率較高。開(kāi)源IDS SNORT和多數(shù)商用 IDS基于網(wǎng)絡(luò)訪問(wèn)速率來(lái)檢測(cè)網(wǎng)絡(luò)掃描事件,它采用一種基于時(shí)間窗統(tǒng)計(jì)方法, 其難點(diǎn)是統(tǒng)計(jì)時(shí)間窗口大小閾值的確定,如果設(shè)置得較低則導(dǎo)致誤報(bào),如果設(shè) 置得較高則無(wú)法檢測(cè)那些隱蔽的網(wǎng)絡(luò)慢掃描事件。網(wǎng)絡(luò)訪問(wèn)成功/失敗比率統(tǒng)計(jì) 方法則通過(guò)統(tǒng)計(jì)各主機(jī)發(fā)出的前N次網(wǎng)絡(luò)訪問(wèn)的成功或失敗比率來(lái)檢測(cè)網(wǎng)絡(luò)掃 描事件,與其它方法相比,該種方法在檢測(cè)網(wǎng)絡(luò)節(jié)點(diǎn)慢掃描事件方面具有一定 的優(yōu)勢(shì),但該檢測(cè)方法并不區(qū)分正常網(wǎng)絡(luò)訪問(wèn)流量和可疑的網(wǎng)絡(luò)掃描訪問(wèn)流量, 其檢測(cè)精確度受網(wǎng)絡(luò)節(jié)點(diǎn)的正常網(wǎng)絡(luò)訪問(wèn)流量影響較大。
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)的不足,本發(fā)明提供一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃 描檢測(cè)方法和系統(tǒng)。本發(fā)明目的是克服現(xiàn)有網(wǎng)絡(luò)掃描檢測(cè)系統(tǒng)不能正確區(qū)分主 機(jī)節(jié)點(diǎn)發(fā)出的正常網(wǎng)絡(luò)訪問(wèn)流量和可能的網(wǎng)絡(luò)掃描訪問(wèn)流量的缺點(diǎn),通過(guò)分析
每個(gè)主機(jī)節(jié)點(diǎn)的每次外出網(wǎng)絡(luò)訪問(wèn)是否存在相關(guān)的DNS解析操作來(lái)實(shí)現(xiàn)正常網(wǎng)
絡(luò)訪問(wèn)流量和可能的網(wǎng)絡(luò)掃描訪問(wèn)流量的區(qū)分,并通過(guò)進(jìn)一步分析可能的網(wǎng)絡(luò) 掃描訪問(wèn)流量的相應(yīng)率和目標(biāo)IP地址發(fā)散度來(lái)有效檢測(cè)局域網(wǎng)絡(luò)中的各種隱蔽 的網(wǎng)絡(luò)掃描事件。
本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是
一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法,包括網(wǎng)絡(luò)終端、局域網(wǎng)、
數(shù)據(jù)獲取模塊、DNS解析監(jiān)控模塊、可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊、可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)
計(jì)模塊、網(wǎng)絡(luò)掃描檢測(cè)模塊,其特征在于所述方法的步驟 數(shù)據(jù)獲取步驟; DNS解析監(jiān)控步驟; 可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟; 可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟; 網(wǎng)絡(luò)掃描檢測(cè)步驟。
一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)系統(tǒng),包括網(wǎng)絡(luò)終端、局域網(wǎng), 其特征在于,收集局域網(wǎng)中所有網(wǎng)絡(luò)數(shù)據(jù)包的并分類(lèi)的數(shù)據(jù)獲取模塊,與數(shù)據(jù) 模塊連接的對(duì)數(shù)據(jù)包進(jìn)行DNS解析并將數(shù)據(jù)包的IP地址列表的DNS解析監(jiān)控 模塊,與數(shù)據(jù)獲取模塊、DNS解析監(jiān)控模塊連接的使用IP地址列表對(duì)數(shù)據(jù)包進(jìn) 行過(guò)濾的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊,對(duì)可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊所檢測(cè)到的可疑數(shù) 據(jù)包進(jìn)行訪問(wèn)數(shù)量檢測(cè)的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊,對(duì)經(jīng)可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊 進(jìn)一歩確認(rèn)的可疑數(shù)據(jù)包做可疑網(wǎng)絡(luò)訪問(wèn)連接響應(yīng)率和目標(biāo)IP地址發(fā)散度檢測(cè) 進(jìn)而最終確認(rèn)網(wǎng)絡(luò)節(jié)點(diǎn)掃描事件的網(wǎng)絡(luò)掃描檢測(cè)模塊。
本發(fā)明的有益效果本發(fā)明通過(guò)將各主機(jī)節(jié)點(diǎn)發(fā)出的所有網(wǎng)絡(luò)訪問(wèn)請(qǐng)求與
本局域網(wǎng)中最近DNS解析過(guò)的IP地址列表進(jìn)行關(guān)聯(lián),最大限度的過(guò)濾掉那些與 正常網(wǎng)絡(luò)訪問(wèn)流量相關(guān)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,并只對(duì)各主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求進(jìn)行統(tǒng)計(jì)和檢測(cè),從而最大限度的降低正常網(wǎng)絡(luò)訪問(wèn)流量對(duì)網(wǎng)絡(luò)掃描檢
測(cè)結(jié)果的精度;同時(shí),采用可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求連接響應(yīng)率和可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求
的目標(biāo)IP地址發(fā)散度為網(wǎng)絡(luò)掃描檢測(cè)指標(biāo),而不是以同定時(shí)間窗口為統(tǒng)計(jì)依據(jù),
可以本發(fā)明所述的網(wǎng)絡(luò)掃描檢測(cè)系統(tǒng)可以檢測(cè)出各種非常隱蔽的網(wǎng)絡(luò)掃描事
件。本發(fā)明所述的適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)系統(tǒng)可廣泛應(yīng)用于入侵
檢測(cè)系統(tǒng)/入侵防御系統(tǒng)等所有需要對(duì)局域網(wǎng)絡(luò)中各主機(jī)節(jié)點(diǎn)的掃描行為進(jìn)行監(jiān)
控的網(wǎng)絡(luò)安全產(chǎn)品中。
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)一步說(shuō)明。
圖1為本發(fā)明實(shí)施例一和實(shí)施例八所述的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)系統(tǒng)體系結(jié)構(gòu)
圖2為本發(fā)明實(shí)施例三和實(shí)施例四所述的DNS解析監(jiān)控模塊創(chuàng)建的DNS 解析IP地址哈希表;
圖3為本發(fā)明實(shí)施例六所述的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊創(chuàng)建的主機(jī)節(jié)點(diǎn)可疑 網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)哈希表;
圖4為本發(fā)明實(shí)施六例所述的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊用于計(jì)算可疑網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求的目標(biāo)IP地址發(fā)散度的位圖向量;
圖5為本發(fā)明實(shí)施七所述的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)模塊的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)流程。
具體實(shí)施例方式
實(shí)施例一
本實(shí)施例是一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法,圖1為本發(fā)明 所述方法所使用的系統(tǒng)示意圖。
本實(shí)施例的基本思路是,檢測(cè)網(wǎng)絡(luò)掃描事件,可以從網(wǎng)絡(luò)訪問(wèn)行為序列的 上下文進(jìn)行區(qū)別。網(wǎng)絡(luò)掃描主機(jī)節(jié)點(diǎn)發(fā)出的網(wǎng)絡(luò)訪問(wèn)流量與正常網(wǎng)絡(luò)訪問(wèn)主機(jī) 節(jié)點(diǎn)發(fā)出的網(wǎng)絡(luò)訪問(wèn)流量是有區(qū)別的正常情況下, 一個(gè)正常網(wǎng)絡(luò)訪問(wèn)節(jié)點(diǎn)發(fā) 出 一個(gè)正常的外出網(wǎng)絡(luò)訪問(wèn)企圖時(shí),將先發(fā)出 一個(gè)與該次外出網(wǎng)絡(luò)訪問(wèn)的目標(biāo)
IP地址相關(guān)的DNS (Domain Naming System,域名解析系統(tǒng))解析操作;而一 個(gè)網(wǎng)絡(luò)掃描主機(jī)節(jié)點(diǎn)發(fā)出的一次網(wǎng)絡(luò)掃描訪問(wèn),其相關(guān)目標(biāo)IP地址是隨機(jī)構(gòu)造 的,因此不存在與該目標(biāo)IP地址相關(guān)的DNS解析操作。因此,通過(guò)分析每個(gè)主 機(jī)節(jié)點(diǎn)的外出網(wǎng)絡(luò)訪問(wèn)是否存在相關(guān)的DNS解析操作,可以將主機(jī)發(fā)出的正常 網(wǎng)絡(luò)訪問(wèn)流量和可能的網(wǎng)絡(luò)掃描訪問(wèn)流量分離開(kāi)來(lái),通過(guò)重點(diǎn)對(duì)可能的網(wǎng)絡(luò)掃 描訪問(wèn)流量進(jìn)行統(tǒng)計(jì)分析,就可有效檢測(cè)出各種隱蔽的網(wǎng)絡(luò)掃描事件。
本實(shí)施例基于這一思路構(gòu)建了包括數(shù)據(jù)獲取模塊、DNS解析監(jiān)控模塊、可 疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊、可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊、網(wǎng)絡(luò)掃描檢測(cè)模塊組成的系統(tǒng)。 本實(shí)施例所述方法所使用的硬件系統(tǒng)包括網(wǎng)絡(luò)終端、局域網(wǎng)。所述方法主要包 括一下步驟
1) 數(shù)據(jù)獲取步驟。用于收集局域網(wǎng)絡(luò)中所有網(wǎng)絡(luò)數(shù)據(jù)包并對(duì)接收的數(shù)據(jù)包 進(jìn)行分類(lèi)。
2) DNS解析監(jiān)控步驟。接收來(lái)自數(shù)據(jù)獲取模塊的所有DNS域名解析協(xié)議 相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,對(duì)其進(jìn)行DNS協(xié)議解析、提取DNS域名解析出的IP地址 列表、并動(dòng)態(tài)維護(hù)一個(gè)關(guān)于這些IP地址列表的數(shù)據(jù)緩存。
3) 可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟。接收來(lái)自數(shù)據(jù)獲取模塊的所有與新建外部網(wǎng)絡(luò) 訪問(wèn)請(qǐng)求和響應(yīng)相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,根據(jù)DNS解析監(jiān)控模塊維護(hù)的DNS協(xié)議 解析IP地址列表對(duì)這些網(wǎng)絡(luò)訪問(wèn)請(qǐng)求進(jìn)行篩選,過(guò)濾掉那些目標(biāo)IP地址在DNS 協(xié)議解析IP地址列表中的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求(正常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求),只剩下那些目標(biāo) IP地址不在DNS協(xié)議解析IP地址列表中的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求(可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求); 同時(shí),根據(jù)DNS解析監(jiān)控模塊維護(hù)的DNS協(xié)議解析IP地址列表對(duì)各主機(jī)節(jié)點(diǎn)發(fā)出的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行篩選,過(guò)濾掉那些源IP地址在DNS 協(xié)議解析IP地址列表中的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包(正常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響
應(yīng)數(shù)據(jù)包),只剩下那些源IP地址不在DNS協(xié)議解析IP地址列表中的網(wǎng)絡(luò)訪問(wèn) 請(qǐng)求響應(yīng)數(shù)據(jù)包(可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù)據(jù)包)。
4) 可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟。接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊的所有可疑網(wǎng) 絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包,統(tǒng)計(jì)局域網(wǎng)絡(luò)內(nèi)各主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求的數(shù)量、被響應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量以及可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目 標(biāo)IP地址映射位圖。
5) 網(wǎng)絡(luò)掃描檢測(cè)步驟。接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊的主機(jī)節(jié)點(diǎn)可疑網(wǎng) 絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)統(tǒng)計(jì)結(jié)果,計(jì)算各主機(jī)節(jié)點(diǎn)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求連接響應(yīng)率 和目標(biāo)IP地址發(fā)散度,根據(jù)預(yù)先設(shè)定的請(qǐng)求連接響應(yīng)率和目標(biāo)IP地址發(fā)散度閾 值判定是否在某主機(jī)節(jié)點(diǎn)上發(fā)生了網(wǎng)絡(luò)掃描事件,若是,則產(chǎn)生相應(yīng)的網(wǎng)絡(luò)掃 描事件。
實(shí)施例二
本實(shí)施例是實(shí)施例一的細(xì)化,是關(guān)于數(shù)據(jù)獲取步驟優(yōu)選方案。數(shù)據(jù)獲取模 塊首先收集局域網(wǎng)絡(luò)上的所有數(shù)據(jù)包。數(shù)據(jù)獲取模塊在捕獲到網(wǎng)絡(luò)數(shù)據(jù)包后,
需要將這些網(wǎng)絡(luò)數(shù)據(jù)包分成三類(lèi)
1) 與DNS域名解析相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,這里網(wǎng)絡(luò)數(shù)據(jù)包以TCP或UDP53 端口為標(biāo)志,這類(lèi)網(wǎng)絡(luò)數(shù)據(jù)包將被轉(zhuǎn)發(fā)給DNS解析監(jiān)控模塊進(jìn)行進(jìn)一歩分析。
2) 與主機(jī)節(jié)點(diǎn)發(fā)出的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和應(yīng)答相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,本實(shí)施例只 考慮TCP-SYN、 TCP-SYN-ACK、 ICMP-Request禾B ICMP-Reply類(lèi)型報(bào)文,這 類(lèi)型網(wǎng)絡(luò)數(shù)據(jù)包將轉(zhuǎn)發(fā)給后臺(tái)的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊。
3) 其它網(wǎng)絡(luò)數(shù)據(jù)包,該類(lèi)型網(wǎng)絡(luò)數(shù)據(jù)包無(wú)助于本發(fā)明所述的網(wǎng)絡(luò)節(jié)點(diǎn)掃描 檢測(cè),因此數(shù)據(jù)捕獲模塊直接丟棄這些數(shù)據(jù)包,使得本實(shí)施例所述的網(wǎng)絡(luò)節(jié)點(diǎn) 掃描檢測(cè)系統(tǒng)適合高速局域網(wǎng)環(huán)境。
本實(shí)施例所述的數(shù)據(jù)獲取步驟的具體過(guò)程如下 數(shù)據(jù)獲取模塊收集局域網(wǎng)絡(luò)中所有網(wǎng)絡(luò)數(shù)據(jù)包;
將收集到的網(wǎng)絡(luò)數(shù)據(jù)包分為與DNS域名解析相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,將該類(lèi) 網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)DNS解析監(jiān)控模塊;與主機(jī)節(jié)點(diǎn)發(fā)出的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和應(yīng)答相 關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,將該類(lèi)網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)給后臺(tái)的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊;其 它網(wǎng)絡(luò)數(shù)據(jù)包,將該類(lèi)網(wǎng)絡(luò)數(shù)據(jù)包直接丟棄。
實(shí)施例三
本實(shí)施例是實(shí)施例一的細(xì)化,是關(guān)于DNS解析監(jiān)控步驟優(yōu)選方案。
本步驟接收來(lái)自數(shù)據(jù)獲取模塊的所有DNS域名解析協(xié)議相關(guān)的網(wǎng)絡(luò)數(shù)據(jù) 包,對(duì)其進(jìn)行DNS協(xié)議解析、提取DNS域名解析出的IP地址列表、并動(dòng)態(tài)維 護(hù)一個(gè)關(guān)于這些IP地址列表的數(shù)據(jù)緩存。
DNS解析監(jiān)控模塊在緩存這些被DNS域名解析出的IP地址列表時(shí),同時(shí) 記錄了各IP地址的最新DNS解析時(shí)間,采用快速哈希表結(jié)構(gòu),以IP地址為索 引將所有DNS域名解析出的各IP地址及其相關(guān)解析時(shí)間存儲(chǔ)到快速哈希表中。
可以將DNS域名解析協(xié)議相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包分為兩種類(lèi)型DNS域名解析 請(qǐng)求數(shù)據(jù)包和DNS域名解析響應(yīng)數(shù)據(jù)包,其中DNS域名解析請(qǐng)求數(shù)據(jù)包一般 由DNS客戶(hù)端或DNS代理發(fā)出,請(qǐng)求將某個(gè)主機(jī)域名解析為該域名所對(duì)應(yīng)的 IP地址;DNS域名解析響應(yīng)數(shù)據(jù)包由DNS服務(wù)器發(fā)出,它包含了DNS域名服 務(wù)器對(duì)某個(gè)主機(jī)域名解析請(qǐng)求的解析結(jié)果,比如該主機(jī)域名所對(duì)應(yīng)的IP地址列 表。
本實(shí)施例只需獲知本局域網(wǎng)環(huán)境中哪些IP地址被最近解析過(guò),因此,只需 要對(duì)DNS域名解析響應(yīng)數(shù)據(jù)包進(jìn)行解析。關(guān)于DNS協(xié)議格式的知識(shí)可以從國(guó) 際IETF (互聯(lián)網(wǎng)工程任務(wù)組)組織公布的DNS協(xié)議標(biāo)準(zhǔn)文檔獲知。本實(shí)施例所 述的DNS解析監(jiān)控模塊在提取被解析出的IP地址列表時(shí),只需要對(duì)DNS域名 解析響應(yīng)數(shù)據(jù)報(bào)文中的RR記錄進(jìn)行分析,就可以提取出本次DNS域名解析獲
得的IP地址列表。
本實(shí)施例所述的DNS解析監(jiān)控模塊需要實(shí)時(shí)維護(hù)本局域網(wǎng)中最近被DNS 域名解析出的IP地址列表。本實(shí)施例所采用快速哈希表結(jié)構(gòu),如圖2所示。該 哈希表由65536個(gè)桶組成,每桶可以順序存儲(chǔ)4個(gè)DNS解析IP地址記錄,每條 DNS解析IP地址記錄包含IP地址(DNSed IPv4)和最后解析時(shí)間(Last Resolv-Time)兩個(gè)字段,其中最后解析時(shí)間用于判定對(duì)應(yīng)記錄是否在保鮮期內(nèi)。 本快速哈希表的哈希函數(shù)為Hl,該函數(shù)以DNS解析出的IP地址為輸入?yún)?shù)。 本哈希表負(fù)責(zé)將從DNS消息RR記錄中提取的IP地址(32bits空間)均勻分配到 哈希表各桶中(16bits空間)。具有相同哈希鍵值的DNS解析IP地址記錄被分 配到同一個(gè)桶中并順序存儲(chǔ),當(dāng)某一哈希桶4個(gè)記錄空間用完時(shí),將替換掉最 后解析事件最老的那個(gè)記錄。
本實(shí)施例所述的DNS解析監(jiān)控步驟的具體過(guò)程如下 接收來(lái)自數(shù)據(jù)獲取模塊的所有DNS域名解析協(xié)議相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包; 對(duì)其進(jìn)行DNS協(xié)議解析、提取DNS域名解析出的IP地址列表,同時(shí)記錄 各IP地址的最新DNS解析時(shí)間;
采用快速哈希表結(jié)構(gòu),以IP地址為索引將所有DNS域名解析出的各IP地 址及其相關(guān)解析時(shí)間存儲(chǔ)到快速哈希表中。 實(shí)施例四
本實(shí)施例是實(shí)施例一的細(xì)化,是關(guān)于可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟優(yōu)選方案,是 對(duì)所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求網(wǎng)絡(luò)數(shù)據(jù)包的分析。
本步驟接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊的所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求網(wǎng)絡(luò)數(shù)據(jù) 包,統(tǒng)計(jì)局域網(wǎng)絡(luò)內(nèi)各主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量、可疑網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求的目標(biāo)IP地址映射位圖。
本步驟在判定某一主機(jī)發(fā)出的外出網(wǎng)絡(luò)訪問(wèn)請(qǐng)求是否為可疑網(wǎng)絡(luò)訪問(wèn)時(shí), 將首先獲得該外出網(wǎng)絡(luò)請(qǐng)求網(wǎng)絡(luò)數(shù)據(jù)包的目標(biāo)IP地址,以該目標(biāo)IP地址為索引
檢索DNS解析監(jiān)控模塊維護(hù)的DNS域名解析IP地址快速哈希表,如圖2所示, 如果檢索到相應(yīng)的DNS域名解析記錄并且與之相關(guān)的最新DNS解析時(shí)間在可 接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求為正常的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,否則,如果 沒(méi)有檢索到相應(yīng)的DNS解析記錄,或者與之相關(guān)的最新DNS解析時(shí)間不在可 接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求為可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,并將該可疑網(wǎng) 絡(luò)訪問(wèn)請(qǐng)求數(shù)據(jù)包轉(zhuǎn)發(fā)給可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊。
本實(shí)施例所述的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟的具體過(guò)程如下 接收來(lái)自數(shù)據(jù)獲取模塊的所有與新建外部網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)
包;
將獲得該外出網(wǎng)絡(luò)請(qǐng)求網(wǎng)絡(luò)數(shù)據(jù)包的目標(biāo)IP地址,以該目標(biāo)IP地址為索引 檢索DNS解析監(jiān)控模塊維護(hù)的DNS域名解析IP地址快速哈希表;
如果檢索到相應(yīng)的DNS域名解析記錄并且與之相關(guān)的最新DNS解析時(shí)間 在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求為正常的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求;
如果沒(méi)有檢索到相應(yīng)的DNS解析記錄,或者與之相關(guān)的最新DNS解析時(shí) 間不在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求為可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,并將 該可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)據(jù)包轉(zhuǎn)發(fā)給可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊。
實(shí)施例五
本實(shí)施例是實(shí)施例一的細(xì)化,是關(guān)于可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾歩驟的又一優(yōu)選方 案,是對(duì)所有與新建外部網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)和相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包的分析。
對(duì)于進(jìn)入局域網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包(包括TCP-SYN-ACK 和ICMP-Reply),首先,提取該網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址,并檢索DNS解析監(jiān)控 模塊維護(hù)的DNS域名解析結(jié)果快速哈希表如果對(duì)應(yīng)記錄不在哈希表中,則判 定此網(wǎng)絡(luò)數(shù)據(jù)包為對(duì)某主機(jī)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)的連接響應(yīng)報(bào)文;如果對(duì)應(yīng) DNS解析IP地址記錄存在,則査看其最后更新時(shí)間字段值,如果發(fā)現(xiàn)此記錄已 經(jīng)長(zhǎng)時(shí)間未更新,同樣判定此報(bào)文為對(duì)某主機(jī)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)的響應(yīng)報(bào)文;
對(duì)于其它情況不予處理。
本實(shí)施例所述的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟的具體過(guò)程如下
接收來(lái)自數(shù)據(jù)獲取模塊的所有與新建外部網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)和相關(guān)的網(wǎng)絡(luò) 數(shù)據(jù)包;
將獲得該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址,以該源IP地址為索引
檢索DNS解析監(jiān)控模塊維護(hù)的DNS域名解析IP地址快速哈希表;
如果檢索到相應(yīng)的DNS域名解析記錄并且與之相關(guān)的最新DNS解析時(shí)間 在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù)據(jù)包為正常的網(wǎng)絡(luò)訪問(wèn)請(qǐng) 求響應(yīng)數(shù)據(jù)包;
如果沒(méi)有檢索到相應(yīng)的DNS解析記錄,或者與之相關(guān)的最新DNS解析時(shí) 間不在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù)據(jù)包為可疑網(wǎng)絡(luò)訪問(wèn) 請(qǐng)求響應(yīng)數(shù)據(jù)包,并將其轉(zhuǎn)發(fā)給可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊。
實(shí)施例六
本實(shí)施例是實(shí)施例一的細(xì)化,是關(guān)于可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟優(yōu)選方案。 本實(shí)施例所述步驟采取如圖3所示的快速哈希表結(jié)構(gòu)統(tǒng)計(jì)局域網(wǎng)絡(luò)中各主 機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量、被響應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量、 可疑網(wǎng)絡(luò)訪問(wèn)目標(biāo)IP地址映射位圖向量。這里需要統(tǒng)計(jì)各主機(jī)節(jié)點(diǎn)相關(guān)的TCP 連接類(lèi)型和ICMP連接類(lèi)型的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)數(shù)據(jù)包情況。該快速哈 希表以主機(jī)節(jié)點(diǎn)為索引,該哈希表中每一項(xiàng)統(tǒng)計(jì)記錄包含了如下幾個(gè)字段 Host-IP:主機(jī)節(jié)點(diǎn)IP地址;Syn-Sent:該主機(jī)節(jié)點(diǎn)發(fā)出的TCP類(lèi)型的可疑網(wǎng)絡(luò) 訪問(wèn)請(qǐng)求的數(shù)量;ICMP-Req:該主機(jī)節(jié)點(diǎn)發(fā)出的ICMP類(lèi)型的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng) 求的數(shù)量;SynO-bitmap:該主機(jī)節(jié)點(diǎn)發(fā)出的TCP類(lèi)型的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目 標(biāo)IP地址映射位圖向量;ICMPO-Bitmap:該主機(jī)節(jié)點(diǎn)發(fā)出的ICMP類(lèi)型的可疑 網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址映射位圖向量;SYN-ACK:該主機(jī)節(jié)點(diǎn)接收到的 TCP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)報(bào)文的數(shù)量;ICMP-RPL:該主機(jī)節(jié)點(diǎn)接收到的
ICMP類(lèi)型的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)報(bào)文的數(shù)量;Last-Time:該主機(jī)節(jié)點(diǎn)最近一 次發(fā)出可疑網(wǎng)絡(luò)報(bào)文或接收網(wǎng)絡(luò)報(bào)文的時(shí)間。當(dāng)某一主機(jī)節(jié)點(diǎn)所發(fā)出的TCP類(lèi) 型可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)量達(dá)到某一預(yù)先設(shè)置的閾值N時(shí),則將該主機(jī)節(jié)點(diǎn)TCP 類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)記錄數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)掃描檢測(cè)模塊進(jìn)行檢測(cè),同時(shí),將 該主機(jī)節(jié)點(diǎn)TCP類(lèi)型的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)數(shù)據(jù)清零,重新進(jìn)行下一次統(tǒng)計(jì);同 理,當(dāng)某一主機(jī)節(jié)點(diǎn)所發(fā)出的ICMP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)量達(dá)到某一預(yù)先 設(shè)置的閾值N時(shí),則將該主機(jī)節(jié)點(diǎn)ICMP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)記錄數(shù)據(jù)發(fā)送 給網(wǎng)絡(luò)掃描檢測(cè)模塊進(jìn)行檢測(cè),同時(shí),將該主機(jī)節(jié)點(diǎn)ICMP類(lèi)型的可疑網(wǎng)絡(luò)訪 問(wèn)統(tǒng)計(jì)數(shù)據(jù)清零,重新進(jìn)行下一次統(tǒng)計(jì)。
本實(shí)施例所述步驟采用位圖向量的方法統(tǒng)計(jì)某主機(jī)節(jié)點(diǎn)發(fā)出的TCP/ICMP 類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)的目標(biāo)IP地址發(fā)散度。如圖4所示,(圖中N個(gè)可疑網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求目標(biāo)IP(DIPi)地址被H,函數(shù)映射到N為比特向量中各個(gè)格)令V為一面 積為N的位圖向量(N個(gè)比特位),其中N為預(yù)先設(shè)置的主機(jī)節(jié)點(diǎn)S發(fā)出的可 疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)量的閾值;定義一個(gè)均勻映射函數(shù)H,將主機(jī)S發(fā)出的可疑 網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址映射到位圖向量V中某一格。首先,將整個(gè)位圖向 量清零。然后,對(duì)于該主機(jī)節(jié)點(diǎn)發(fā)出的每一個(gè)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址, 映射到該位圖向量中某一格并置l。最后,當(dāng)統(tǒng)計(jì)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量達(dá) 到預(yù)先設(shè)置的閾值N時(shí),得到的是一個(gè)維數(shù)為N的比特向量。 本實(shí)施例所述的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟的具體過(guò)程如下 接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊的所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)
包;
采取快速哈希表結(jié)構(gòu)統(tǒng)計(jì)局域網(wǎng)絡(luò)中各主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求 的數(shù)量、被響應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量以及由可疑網(wǎng)絡(luò)訪問(wèn)的目標(biāo)IP地址 映射而成的位圖向量;
當(dāng)某一主機(jī)節(jié)點(diǎn)所發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)量達(dá)到預(yù)先設(shè)置的閾值N
時(shí),將該主機(jī)節(jié)點(diǎn)對(duì)應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)記錄發(fā)送給網(wǎng)絡(luò)掃描檢測(cè)模塊進(jìn)行 檢測(cè)。
實(shí)施例七
本實(shí)施例是實(shí)施例一的細(xì)化,是關(guān)于網(wǎng)絡(luò)掃描檢測(cè)步驟優(yōu)選方案。 本實(shí)施例所述的網(wǎng)絡(luò)掃描檢測(cè)步驟的過(guò)程如圖5所示。網(wǎng)絡(luò)掃描檢測(cè)模塊
接收由可疑網(wǎng)絡(luò)統(tǒng)計(jì)模塊發(fā)送來(lái)的主機(jī)節(jié)點(diǎn)TCP類(lèi)型/ICMP類(lèi)型的可疑網(wǎng)絡(luò)訪 問(wèn)統(tǒng)計(jì)記錄,根據(jù)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)目和被響應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)目這 兩個(gè)數(shù)值計(jì)算出該主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的連接響應(yīng)率;同時(shí)由該 主機(jī)節(jié)點(diǎn)發(fā)出的所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求所構(gòu)造的N維比特向量可以計(jì)算出該主 機(jī)節(jié)點(diǎn)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址發(fā)散度;最后,將計(jì)算出的可疑網(wǎng)絡(luò)訪 問(wèn)連接響應(yīng)率和目標(biāo)IP地址發(fā)散度分別與預(yù)先設(shè)置的閾值相比較,當(dāng)發(fā)現(xiàn)可疑 網(wǎng)絡(luò)連接響應(yīng)率低于預(yù)先設(shè)置的閾值,以及目標(biāo)IP地址發(fā)散度高于預(yù)先設(shè)置的 閾值時(shí),則表明在該主機(jī)節(jié)點(diǎn)上正在發(fā)生一次網(wǎng)絡(luò)掃描事件。
這里將某一主機(jī)節(jié)點(diǎn)S發(fā)出的TCP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)的響應(yīng)率R(S)定義為
這里Attempt(S)表示主機(jī)節(jié)點(diǎn)S發(fā)出的TCP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)數(shù)量,而 Response(S)為主機(jī)節(jié)點(diǎn)S接收到的TCP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)的響應(yīng)數(shù)量。
對(duì)于由主機(jī)節(jié)點(diǎn)S發(fā)出的TCP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)所構(gòu)建的N維位圖向量V, 其目標(biāo)IP地址發(fā)散度定義為
Z/(S)=(位圖F非零位個(gè)數(shù))AV (2)
當(dāng)主機(jī)節(jié)點(diǎn)S發(fā)出的TCP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)數(shù)量達(dá)到預(yù)先定義的域值N,
且主機(jī)節(jié)點(diǎn)S發(fā)出的這N個(gè)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的響應(yīng)率R(S)和目標(biāo)IP地址發(fā)散
度H(S)滿(mǎn)足以下條件時(shí),則檢測(cè)到了一個(gè)網(wǎng)絡(luò)掃描事件
,《77,,)^ (3) 這里il和4)為網(wǎng)絡(luò)掃描檢測(cè)域值,其中G^^1,G^^^1。 n和cj)兩個(gè)參數(shù)可
以根據(jù)現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境來(lái)確定。
對(duì)于某一主機(jī)節(jié)點(diǎn)S發(fā)出的ICMP類(lèi)型可疑網(wǎng)絡(luò)訪問(wèn)的統(tǒng)計(jì)數(shù)據(jù)的檢測(cè)方 法同上。
本實(shí)施例所述的網(wǎng)絡(luò)掃描檢測(cè)步驟的具體過(guò)程如下
接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊的主機(jī)節(jié)點(diǎn)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)統(tǒng)計(jì) 結(jié)果;
根據(jù)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)目和被響應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)目這兩個(gè)數(shù)值 計(jì)算出該主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的連接響應(yīng)率;
由該主機(jī)節(jié)點(diǎn)發(fā)出的所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址列表映射而成的 位圖向量計(jì)算出該主機(jī)節(jié)點(diǎn)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址發(fā)散度;
將計(jì)算出的可疑網(wǎng)絡(luò)訪問(wèn)連接響應(yīng)率和目標(biāo)IP地址發(fā)散度分別與預(yù)先設(shè)置 的閾值相比較,當(dāng)發(fā)現(xiàn)可疑網(wǎng)絡(luò)連接響應(yīng)率低于預(yù)先設(shè)置的閾值,以及目標(biāo)IP 地址發(fā)散度高于預(yù)先設(shè)置的閾值時(shí),則表明在該主機(jī)節(jié)點(diǎn)上正在發(fā)生一次網(wǎng)絡(luò) 掃描事件。
實(shí)施例八
本實(shí)施例是使用實(shí)施例一所述一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)系 統(tǒng),其系統(tǒng)體系結(jié)構(gòu)如圖1所示。所述的系統(tǒng)硬件架構(gòu)包括網(wǎng)絡(luò)終端、局域 網(wǎng),收集局域網(wǎng)中所有網(wǎng)絡(luò)數(shù)據(jù)包的并分類(lèi)的數(shù)據(jù)獲取模塊,與數(shù)據(jù)模塊連接
的對(duì)數(shù)據(jù)包進(jìn)行DNS解析并將數(shù)據(jù)包的IP地址列表的DNS解析監(jiān)控模塊,與 數(shù)據(jù)獲取模塊、DNS解析監(jiān)控模塊連接的使用IP地址列表對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾的
可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊,對(duì)可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊所檢測(cè)到的可疑數(shù)據(jù)包進(jìn)行 訪問(wèn)數(shù)量檢測(cè)的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊,對(duì)經(jīng)可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊進(jìn)一步確 認(rèn)的可疑數(shù)據(jù)包做可疑網(wǎng)絡(luò)訪問(wèn)連接響應(yīng)率和目標(biāo)IP地址發(fā)散度檢測(cè)進(jìn)而最終 確認(rèn)網(wǎng)絡(luò)節(jié)點(diǎn)掃描事件的網(wǎng)絡(luò)掃描檢測(cè)模塊。
1)數(shù)據(jù)獲取模塊數(shù)據(jù)獲取模塊實(shí)時(shí)收集局域網(wǎng)絡(luò)中所有網(wǎng)絡(luò)數(shù)據(jù)包;網(wǎng) 絡(luò)數(shù)據(jù)包獲取可以采用軟件技術(shù),比如基于libpcap的操作系統(tǒng)內(nèi)核級(jí)報(bào)文捕獲 技術(shù);也可以采用硬件技術(shù),比如采用專(zhuān)用高速局域網(wǎng)網(wǎng)絡(luò)報(bào)文捕獲卡(比如 DAG卡);數(shù)據(jù)獲取模塊將對(duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分類(lèi)和過(guò)濾,最后將與網(wǎng)絡(luò) 掃描檢測(cè)相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包交給后面的DNS解析監(jiān)控模塊和可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾 模塊做進(jìn)一步分析處理。
2) DNS解析監(jiān)控模塊DNS解析監(jiān)控模塊實(shí)時(shí)接收來(lái)自數(shù)據(jù)獲取模塊的 所有與DNS域名解析相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,對(duì)其進(jìn)行DNS協(xié)議解析、提取DNS 域名解析出的IP地址列表、并維護(hù)一個(gè)關(guān)于這些IP地址列表的數(shù)據(jù)緩存,這個(gè) IP地址列表緩存協(xié)助可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊將可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求與正常網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求區(qū)分開(kāi)來(lái),同時(shí)也便于將對(duì)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包與對(duì)正 常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包區(qū)分開(kāi)來(lái)。
3) 可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊接收來(lái)自數(shù)據(jù)獲取模塊 的所有表征網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的網(wǎng)絡(luò)數(shù)據(jù)包,然后根據(jù)DNS解析監(jiān)控模塊維護(hù)的 DNS協(xié)議解析IP地址列表緩存對(duì)這些網(wǎng)絡(luò)訪問(wèn)請(qǐng)求網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行篩選,過(guò)濾 掉那些目標(biāo)IP地址在DNS協(xié)議解析IP地址列表中的正常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,只剩 下那些目標(biāo)IP地址不在DNS協(xié)議解析IP地址列表中的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,這 些過(guò)濾后剩下的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)據(jù)包將傳送給可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊進(jìn)行 統(tǒng)計(jì);此外,可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊接收來(lái)自數(shù)據(jù)獲取模塊的所有表征網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求響應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包,然后根據(jù)DNS解析監(jiān)控模塊維護(hù)的DNS協(xié)議解析 IP地址列表緩存對(duì)這些網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行篩選,過(guò)濾掉那些源 IP地址在DNS協(xié)議解析IP地址列表中的正常網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù)據(jù)包,只剩 下那些源IP地址不在DNS協(xié)議解析IP地址列表中的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù) 據(jù)包,這些過(guò)濾后剩下的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù)據(jù)包將傳送給可疑網(wǎng)絡(luò)訪問(wèn) 統(tǒng)計(jì)模塊進(jìn)行統(tǒng)計(jì)。
4) 可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn) 過(guò)濾模塊的所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包,然后按局域網(wǎng)絡(luò)內(nèi)各主 機(jī)節(jié)點(diǎn)統(tǒng)計(jì)各主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量、被響應(yīng)的可疑網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求的數(shù)量以及由可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求目標(biāo)IP地址映射而成的位圖向量; 一旦
發(fā)現(xiàn)某一主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量超過(guò)預(yù)先設(shè)置的閾值N,則
將該主機(jī)節(jié)點(diǎn)的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)掃描檢測(cè)模塊做進(jìn)一步的檢 測(cè)處理。
5)網(wǎng)絡(luò)掃描檢測(cè)模塊網(wǎng)絡(luò)掃描檢測(cè)模塊接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊 的主機(jī)節(jié)點(diǎn)可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)結(jié)果,并計(jì)算各主機(jī)節(jié)點(diǎn)的兩個(gè)檢測(cè)指標(biāo)可疑 網(wǎng)絡(luò)訪問(wèn)連接響應(yīng)率和目標(biāo)IP地址發(fā)散度;然后根據(jù)預(yù)先設(shè)定的連接響應(yīng)率和
目標(biāo)IP地址發(fā)散度閾值判定該主機(jī)節(jié)點(diǎn)是否正在執(zhí)行網(wǎng)絡(luò)掃描行為,若是,則 產(chǎn)生一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)掃描事件。
權(quán)利要求
1.一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法,包括網(wǎng)絡(luò)終端、局域網(wǎng)、數(shù)據(jù)獲取模塊、DNS解析監(jiān)控模塊、可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊、可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊、網(wǎng)絡(luò)掃描檢測(cè)模塊,其特征在于所述方法的步驟數(shù)據(jù)獲取步驟;DNS解析監(jiān)控步驟;可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟;可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟;網(wǎng)絡(luò)掃描檢測(cè)步驟。
2. 根據(jù)權(quán)利要求1所述的一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法, 其特征是,所述的數(shù)據(jù)獲取步驟中的子步驟數(shù)據(jù)獲取模塊收集局域網(wǎng)絡(luò)中所有網(wǎng)絡(luò)數(shù)據(jù)包;將收集到的網(wǎng)絡(luò)數(shù)據(jù)包分為與dns域名解析相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,將該類(lèi) 網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)dns解析監(jiān)控模塊;與主機(jī)節(jié)點(diǎn)發(fā)出的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和應(yīng)答相 關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包,將該類(lèi)網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)給后臺(tái)的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊;其 它網(wǎng)絡(luò)數(shù)據(jù)包,將該類(lèi)網(wǎng)絡(luò)數(shù)據(jù)包直接丟棄。
3. 根據(jù)權(quán)利要求1所述的一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法, 其特征是,所述的dns解析監(jiān)控步驟中的子步驟接收來(lái)自數(shù)據(jù)獲取模塊的所有dns域名解析協(xié)議相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包; 對(duì)其進(jìn)行dns協(xié)議解析、提取dns域名解析出的ip地址列表,同時(shí)記錄各ip地址的最新dns解析時(shí)間;采用快速哈希表結(jié)構(gòu),以ip地址為索引將所有dns域名解析出的各ip地址及其相關(guān)解析時(shí)間存儲(chǔ)到快速哈希表中。
4. 根據(jù)權(quán)利要求1所述的一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法, 其特征是,所述的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟中的子步驟接收來(lái)自數(shù)據(jù)獲取模塊的所有與新建外部網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包;將獲得該外出網(wǎng)絡(luò)請(qǐng)求網(wǎng)絡(luò)數(shù)據(jù)包的目標(biāo)IP地址,以該目標(biāo)IP地址為索引檢索DNS解析監(jiān)控模塊維護(hù)的DNS域名解析IP地址快速哈希表;如果檢索到相應(yīng)的DNS域名解析記錄并且與之相關(guān)的最新DNS解析時(shí)間在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求為正常的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求;如果沒(méi)有檢索到相應(yīng)的DNS解析記錄,或者與之相關(guān)的最新DNS解析時(shí)間不在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求為可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,并將該可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)據(jù)包轉(zhuǎn)發(fā)給可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊。
5. 根據(jù)權(quán)利要求1所述的一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法, 其特征是,所述的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟中的子步驟接收來(lái)自數(shù)據(jù)獲取模塊的所有與新建外部網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)和相關(guān)的網(wǎng)絡(luò) 數(shù)據(jù)包;將獲得該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址,以該源IP地址為索引 檢索DNS解析監(jiān)控模塊維護(hù)的DNS域名解析IP地址快速哈希表;如果檢索到相應(yīng)的DNS域名解析記錄并且與之相關(guān)的最新DNS解析時(shí)間 在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù)據(jù)包為正常的網(wǎng)絡(luò)訪問(wèn)請(qǐng) 求響應(yīng)數(shù)據(jù)包;如果沒(méi)有檢索到相應(yīng)的DNS解析記錄,或者與之相關(guān)的最新DNS解析時(shí) 間不在可接受的范圍之內(nèi),則認(rèn)為該網(wǎng)絡(luò)訪問(wèn)請(qǐng)求響應(yīng)數(shù)據(jù)包為可疑網(wǎng)絡(luò)訪問(wèn) 請(qǐng)求響應(yīng)數(shù)據(jù)包,并將其轉(zhuǎn)發(fā)給可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊。
6. 根據(jù)權(quán)利要求1所述的一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法, 其特征是,所述的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟中的子步驟接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊的所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包;采取快速哈希表結(jié)構(gòu)統(tǒng)計(jì)局域網(wǎng)絡(luò)中各主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量、被響應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)量以及由可疑網(wǎng)絡(luò)訪問(wèn)的目標(biāo)IP地址 映射而成的位圖向量;當(dāng)某一主機(jī)節(jié)點(diǎn)所發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)量達(dá)到預(yù)先設(shè)置的閾值N時(shí),將該主機(jī)節(jié)點(diǎn)對(duì)應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)記錄發(fā)送給網(wǎng)絡(luò)掃描檢測(cè)模塊進(jìn)行 檢測(cè)。
7. 根據(jù)權(quán)利要求1所述的一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法,其特征是,所述的網(wǎng)絡(luò)掃描檢測(cè)步驟中的子步驟接收來(lái)自可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊的主機(jī)節(jié)點(diǎn)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和響應(yīng)統(tǒng)計(jì)結(jié)果;根據(jù)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)目和被響應(yīng)的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求數(shù)目這兩個(gè)數(shù)值計(jì)算出該主機(jī)節(jié)點(diǎn)發(fā)出的可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的連接響應(yīng)率;由該主機(jī)節(jié)點(diǎn)發(fā)出的所有可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址列表映射而成的 位圖向量計(jì)算出該主機(jī)節(jié)點(diǎn)可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址發(fā)散度;將計(jì)算出的可疑網(wǎng)絡(luò)訪問(wèn)連接響應(yīng)率和目標(biāo)IP地址發(fā)散度分別與預(yù)先設(shè)置 的閾值相比較,當(dāng)發(fā)現(xiàn)可疑網(wǎng)絡(luò)連接響應(yīng)率低于預(yù)先設(shè)置的閾值,以及目標(biāo)IP 地址發(fā)散度高于預(yù)先設(shè)置的閾值時(shí),則表明在該主機(jī)節(jié)點(diǎn)上正在發(fā)生一次網(wǎng)絡(luò) 掃描事件。
8. —種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)系統(tǒng),包括網(wǎng)絡(luò)終端、局域 網(wǎng),其特征在于,收集局域網(wǎng)中所有網(wǎng)絡(luò)數(shù)據(jù)包的并分類(lèi)的數(shù)據(jù)獲取模塊,與數(shù)據(jù)模塊連接的對(duì)數(shù)據(jù)包進(jìn)行DNS解析并將數(shù)據(jù)包的IP地址列表的DNS解析 監(jiān)控模塊,與數(shù)據(jù)獲取模塊、DNS解析監(jiān)控模塊連接的使用IP地址列表對(duì)數(shù)據(jù) 包進(jìn)行過(guò)濾的可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊,對(duì)可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾模塊所檢測(cè)到的可 疑數(shù)據(jù)包進(jìn)行訪問(wèn)數(shù)量檢測(cè)的可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)模塊,對(duì)經(jīng)可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì) 模塊進(jìn)一步確認(rèn)的可疑數(shù)據(jù)包做可疑網(wǎng)絡(luò)訪問(wèn)連接響應(yīng)率和目標(biāo)IP地址發(fā)散度 檢測(cè)進(jìn)而最終確認(rèn)網(wǎng)絡(luò)節(jié)點(diǎn)掃描事件的網(wǎng)絡(luò)掃描檢測(cè)模塊。
全文摘要
本發(fā)明涉及一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法和系統(tǒng),是一種適于高速局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)的方法和系統(tǒng)。本發(fā)明包括網(wǎng)絡(luò)終端、局域網(wǎng),所述方法的步驟數(shù)據(jù)獲取步驟;DNS解析監(jiān)控步驟;可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟;可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟;網(wǎng)絡(luò)掃描檢測(cè)步驟。本發(fā)明通過(guò)將各主機(jī)節(jié)點(diǎn)發(fā)出的所有網(wǎng)絡(luò)訪問(wèn)請(qǐng)求與本局域網(wǎng)中最近DNS解析過(guò)的IP地址列表進(jìn)行關(guān)聯(lián),最大限度的過(guò)濾掉那些與正常網(wǎng)絡(luò)訪問(wèn)流量相關(guān)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。采用可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求連接響應(yīng)率和可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址發(fā)散度為網(wǎng)絡(luò)掃描檢測(cè)指標(biāo),適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)系統(tǒng)對(duì)局域網(wǎng)絡(luò)中各主機(jī)節(jié)點(diǎn)的掃描行為進(jìn)行監(jiān)控的網(wǎng)絡(luò)安全產(chǎn)品中。
文檔編號(hào)H04L29/06GK101184094SQ20071017885
公開(kāi)日2008年5月21日 申請(qǐng)日期2007年12月6日 優(yōu)先權(quán)日2007年12月6日
發(fā)明者華東明, 葉潤(rùn)國(guó), 博 李, 胡振宇, 駱擁政 申請(qǐng)人:北京啟明星辰信息技術(shù)有限公司